2. 程式人生 > >IDA Pro 權威指南學習筆記(六) - 次要的 IDA 顯示窗口

IDA Pro 權威指南學習筆記(六) - 次要的 IDA 顯示窗口

阿新 發佈:2018-08-14
方便 dump 可能 沒有 匯編 關系 布局 提高 整數

十六進制窗口

IDA 十六進制窗口可以配置為顯示各種格式,並可作為十六進制編輯器使用

默認情況下,十六進制窗口顯示程序內容和列表的標準十六進制代碼,每行顯示 16 個字節,以及其對應的 ASCII 字符

和在反匯編窗口中一樣,用戶也可以同時打開幾個十六進制窗口

第一個十六進制窗口叫做 Hex View-A,第二個十六進制窗口叫做 Hex View-B,接下來的窗口叫做 Hex View-C,依次類推

默認情況下,第一個十六進制窗口會與第一個反匯編窗口同步

如果一個反匯編窗口與一個十六進制窗口同步,在一個窗口中滾動鼠標,另一個窗口也會滾動到相同的位置(同一個虛擬地址)

如果在反匯編窗口中選中一個項目,十六進制窗口中的對應字節也將突出顯示

在反匯編窗口中,光標指向地址 0040E60D,這是一個 mov 指令,在十六進制窗口中,構成這個指令的全部 3 個字節均突出顯示

技術分享圖片

右擊十六進制窗口的任何位置,出現十六進制窗口的上下文菜單

使用這個菜單,可以指定與某個特殊的十六進制窗口同步的反匯編窗口(如果有的話)

如果取消選中同步選項,那麽在滾動十六進制窗口時,將不會有任何反匯編窗口隨之滾動

擇 Edit 菜單項可將十六進制窗口轉變為十六進制編輯器,完成編輯後,你必須提交或取消更改才能返回查看模式

可以使用 Data Format 菜單項選擇各種顯示格式,如 1、2、4、8 字節十六進制,帶簽名的十進制或不帶簽名的十進制整數及各種浮點格式

可以使用 Columns 菜單項更改顯示的列數

使用 Text 選項打開或關閉文本塊

如果十六進制窗口中顯示的是問號,這表示 IDA 無法識別給定的虛擬地址範圍內的值,如果程序中包含一個 bss 節,就會出現這種情況

通常,bss 節並不占用文件的空間,但加載器會擴展這一節,以適應程序的靜態存儲要求

bss 節由編譯器創建,用於保存程序的所有未初始化的靜態變量

既然沒有為這些變量指定初始值,就沒有必要在程序的文件鏡像中為它們分配空間,只需在程序的一個頭文件中註明它的大小

當程序執行時,加載器會為其分配所需的空間,並將整個數據塊的初始值設為 0

導出窗口

導出窗口列出文件的入口點

這些入口點包括程序的執行入口點(在程序的文件頭部分指定),以及任何由文件導出給其他文件使用的函數和變量

通常,用戶可在共享庫(如 Windows DLL 文件)中找到導出的函數

導出的項目按名稱、虛擬地址和序數(如果可用)排列

共享庫可能會使用導出序數,以方便用戶通過序數而非名稱訪問函數

使用序數可以加快地址查詢速度,並允許程序員隱藏函數的名稱

Windows DLL 即使用導出序數

對於可執行文件,導出窗口中至少包含一個項目:程序的執行入口點,IDA 將這個入口點取名為 start

技術分享圖片

與許多其他 IDA 窗口一樣,雙擊導出窗口中的一個條目,IDA 將會跳轉到反匯編窗口中與該項目有關的地址

導出窗口提供與 objdump (-T) 、 readelf (-s) 和 dumpbin (/EXPORTS) 等命令行工具類似的功能

導入窗口

導入窗口的功能與導出窗口的功能正好相反

導入窗口列出由被分析的二進制文件導入的所有函數

只有在二進制文件使用共享庫時,IDA 才需要用到導入窗口

靜態鏈接的二進制文件不存在外部依賴關系,因此不需要導入其他內容

導入窗口中的每個條目列出一個導入項目(函數或數據)的名稱,以及包含該項目的庫的名稱

由於被導入的函數的代碼位於共享庫中,窗口中每個條目列出的地址為相關導入表條目的虛擬地址

技術分享圖片

雙擊第一個條目,IDA 將跳轉到反匯編窗口的 00412168 地址處

技術分享圖片

在十六進制窗口中,這個內存位置的內容顯示為 ?? ?? ?? ??

技術分享圖片

因為 IDA 是一種靜態分析工具,它無法獲知程序在執行時會在這個內存位置輸入什麽地址

導入窗口還提供與 objdump (-T) 、 readelf (-s) 和 dumpbin (/IMPORTS) 等命令行工具類似的功能

導入窗口僅顯示二進制文件想要動態加載器自動處理的符號,二進制文件選擇使用 dlopen/dlsym 或 LoadLibrary/GetProcAddress 等機制自行加載的符號將不會在導入窗口中顯示

結構體窗口

結構體窗口用於顯示 IDA 決定在一個二進制文件中使用的任何復雜的數據結構(如 C 結構體和聯合)的布局

在分析階段,IDA 會查詢它的函數類型簽名擴展庫,設法將函數的參數類型與程序使用的內存匹配起來

技術分享圖片

雙擊數據結構的名稱,IDA 將展開該結構,這樣你就可以查看該結構的詳細布局,包括每個字段的名稱和大小

技術分享圖片

結構體窗口的兩個主要用途包括:

為標準數據結構的布局提供現成的參考;

提供一種方法,在發現程序使用的自定義數據結構時,幫助創建自己的、可用作內存布局模板的數據結構

枚舉窗口

如果 IDA 檢測到標準枚舉數據類型(C enum ),它將在枚舉窗口中列出該數據類型

可以使用枚舉來代替整數常量,提高反匯編代碼的可讀性

在枚舉窗口中也可以定義自己的枚舉類型,並將其用在經過反匯編的二進制代碼中

技術分享圖片

IDA Pro 權威指南學習筆記(六) - 次要的 IDA 顯示窗口

相關推薦

IDA Pro 權威指南學習筆記() - 次要IDA 顯示

方便 dump 可能 沒有 匯編 關系 布局 提高 整數 十六進制窗口 IDA 十六進制窗口可以配置為顯示各種格式,並可作為十六進制編輯器使用 默認情況下,十六進制窗口顯示程序內容和列表的標準十六進制代碼,每行顯示 16 個字節,以及其對應的 ASCII 字符 和在反

IDA Pro 權威指南學習筆記(八) - 基本 IDA 導航

當前 跳轉 previous 窗口 移動 http pro open 引用 導航目標 在分析階段,IDA 會通過檢查二進制文件的符號表生成符號名稱,或根據二進制文件引用位置的方式自動生成一個名稱 反匯編窗口中顯示的任何名稱都是導航目標 雙擊任何一個符號,IDA 將跳轉

IDA Pro 權威指南學習筆記(二) - IDA 數據庫文件

names 標記 image 一個 輸入 需要 二叉 pro 樹形 把要分析的文件用 IDA 打開後,會生成 3 個數據庫文件 擴展名分別為 .id0,id1,nam .id0 文件是一個二叉樹形式的數據庫 .id1 文件包含描述每個程序字節的標記 .nam 文

IDA Pro 權威指南學習筆記(四) - IDA 用戶界面的基本規則

上下 工具 庫文件 發生 執行 ida 基於 需要 位置 基本規則: IDA 不提供撤銷功能 如果由於不小心按下某個鍵,導致數據庫文件發生意外,這時需要將顯示窗口恢復到以前的狀態 幾乎所有的操作都有其對應的菜單項、熱鍵和工具欄按鈕 IDA 的工具欄高度可配置,就像熱

IDA Pro 權威指南學習筆記(十四) - 操縱函數

禁用 not 當前 函數 reg 代碼區 字節 strong 掃描 IDA 無法定位一個函數調用,由於沒有直接的方法到達函數,IDA 將無法識別它們 IDA 可能無法正確確定函數的結束部分,需要手動幹預,以更正反匯編代碼中的錯誤 如果編譯器已經將函數分割到幾個地址範圍,

netty權威指南學習筆記——編解碼技術之MessagePack

ssi add java exception 字節數組 ted evel thrift 發送   編解碼技術主要應用在網絡傳輸中,將對象比如BOJO進行編解碼以利於網絡中進行傳輸。平常我們也會將編解碼說成是序列化/反序列化   定義:當進行遠程跨進程服務調用時,需要把被傳輸

Hadoop權威指南學習筆記

支持 第三方 handle line src factory 模式 多個 重要 HDFS簡單介紹 聲明:本文是本人基於Hadoop權威指南學習的一些個人理解和筆記,僅供學習參考。有什麽不到之處還望指出,一起學習一起進步。 轉載請註明:http://blog.cs

Kubernetes權威指南學習筆記(一)

資源利用率 date ace epo yaml policy 下一代 標識 code https://blog.csdn.net/keysilence1/article/details/70239717 概念 Kubernetes是谷歌嚴格保密十幾年的秘密武器——Bo

netty權威指南學習筆記四——TCP粘包/拆包之粘包問題解決

方法 pan 對象 protect row 學習 ddl .get font   發生了粘包,我們需要將其清晰的進行拆包處理,這裏采用LineBasedFrameDecoder來解決 LineBasedFrameDecoder的工作原理是它依次遍歷ByteBuf中的可讀字節

js權威指南學習筆記(一)類型、值和變量

聲明 for black inf 筆記 提升 under election 對象類型 1、數據類型:原始類型(primitive type) 和對象類型(object type) 原始類型包括數字、字符串和布爾值; 除數字、字符串、布爾值、null(空)、undefined

javascript權威指南--學習筆記

-一、JavaScript基本資料型別 1、數字--Number類 2、字串--String類 3、布林--Boolean類 4、函式Function 5、物件Object 6、陣列Array 7、null 8、undefined 備註:    當一個未定義的值用於布林環

jQuery權威指南學習筆記

快速生成HTML模板: 首先輸入"!",然後點選"Tab" ready與onload區別 執行時間不同:$(document).ready在頁面DOM模型載入完畢後就執行;而wondow.onload必須在頁面全部元素載入完畢(包括圖片下載)後才能執行多個,但僅輸出一個執行結

逆向工程權威指南學習筆記

宣告:本文整理自《逆向工程權威指南(上冊)》 非常亂,不行整理了。 第三章 RET 將控制權交給呼叫程式(將控制權交給作業系統) 編譯器在字串常量的尾部添加了00H,原因是為這個字串常量新增結束標誌(即數值為0的單個位元組) push offset $SG3803 通過p

Kubernetes權威指南學習筆記之 kubedns

參照書本2.5章https://blog.csdn.net/watermelonbig/article/details/79693962配套yamlhttps://github.com/kubeguide/samplecode/tree/master/Chapter2遇到的問

kubernetes 權威指南學習筆記(2) -- 基本概念和術語

基本概念和術語 Master&Node Kubernetes 叢集的兩種管理角色: Master 和 Node Maste

安卓開發學習筆記—————《Anroid編程權威指南》第章 Android編程與兼容性問題

studio 通知 編譯 應用 之間 學習 權威指南 安卓 兼容性問題 SDK最低版本 操作系統會拒絕將應用安裝在系統版本低於標準的設備上。 SDK目標版本 目標版本的設定值告知Android:應用時為哪個API級別設計的。 SDK編譯版本 SDK最低版本和目標版本會通知給

JavaScript權威指南(第版) 初讀筆記-對象

avi uid pre class bsp guide ini ole blog 1 var book = { 2 "main title": "JavaScript", // 屬性名字裏有空格,必須用字符串表示 3 "su

Pro Android學習筆記 安全和許可權 3 Provider許可權

訪問其他應用的content provider我們在ProPermission中提供了一個content provider,成為PrivProvider,然後在ProPermissionClient中對呼叫這個provider介面。在ProPermission的AndroidManifest.xml中,對pr

《HTTP 權威指南筆記:第十章&第十七章 國際化、內容協商與轉碼

二進制 首部 指南 生成文檔 緩存 -type nat lang 緩存代理 《HTTP 權威指南》筆記:第十六章 國際化 客戶端通過在請求報文中的 Accept-Language 首部和 Accept-Charset 首部來告知服務器:“我理解這些語言.&rd

Linux Unix shell 編程指南學習筆記(第四部分)

fcm 驗證 () only arguments line div 反饋 sed 第十六章 shell腳本介紹 此章節內容較為簡單,跳過。 第十七章 條件測試 test命令 expr命令 test 格式 test condition 或者 [