歡迎大家拍磚!

本系列內容是我根據“知其所以然論壇”博主錄製的學習視訊，做的筆記。

下載後得到IDA.pro.5.5dapro55.zip檔案。

在Windows 下可以開發exe檔案，exe是不可逆向的，通過IDA可以把應用程式逆向，並非不是完全逆向，因為EXE已經把程式碼優化了。

DEBUG比RELEASE能更好逆向。

IDA它支援多種檔案的反彙編，如exe 、sys、dll等。

一、IDA軟體的安裝

1、安裝DIA軟體

把IDA.pro.5.5dapro55.zip解壓後得到，雙擊它安裝；

2、漢化

將IDA.pro.5.5dapro55.zip解壓後得到的檔案

繼續解壓得到，將它拷貝到IDS的安裝目錄下。

^-^ 此時執行IDA程式，可以看到程式介面了：

我們點選執行按鈕，進入到主介面：

二、測試一個最簡單的驅動程式

1、準備要測試的驅動程式

之所以簡單，是因為只有一個檔案sys.c，檔案中只有兩個函式：

#include <ntddk.h>

VOID HelloDDKUnload (IN PDRIVER_OBJECT pDriverObject) 
{
   KdPrint(("Enter DriverUnload\n"));
   KdPrint(("Leave DriverUnload\n"));
}



extern NTSTATUS DriverEntry (
			IN PDRIVER_OBJECT pDriverObject,
			IN PUNICODE_STRING pRegistryPath	) 
{
   NTSTATUS status;
   status=STATUS_SUCCESS;
   KdPrint(("Enter DriverEntry\n"));
   pDriverObject->DriverUnload = HelloDDKUnload;
   KdPrint(("DriverEntry end\n"));
   return status;
}

 

編譯後得到我們的目標檔案： sys.sys

2、反彙編實現

把sys.sys拖到IDA程式裡。這裡要選擇載入的檔案型別：

第一個是：PE檔案

第二個是：DOS 可執行檔案

第三個是：二進位制檔案。（用於有時我們不知道它的檔案型別，eg：ROM映象檔案）

這裡我們按預設的。（一般程式會幫我們自動選擇型別。）

全部按預設，點確定；接下來會提示是否載入PDB檔案，點YES。

此時在輸出視窗中顯示：

此時我們的結果出來了.

3、簡要分析

我們可以看到在IDA View-A選項卡上會顯示三種顏色。

藍色： 表示是程式碼段；

棕色： 表示是資料段；

紅色： 表示是核心；

3、1  程式碼段

.sys檔案一般是從00010000開始的，而.exe一般是從00040000開始的，dll是從00070000開頭的。

在檢視的彙編程式碼中，如果可以識別符號進步重新命名，之後與它有關的所有名字都會改變。

接下來我們來檢視函式DriverEntry

下圖表示：把[email protected]的程式碼放入eax+34h的記憶體中。這樣當解除安裝時可以呼叫。

3、2  資料段

在資料段時若我們判斷是字串，那麼可以選擇以C風格來檢視。

得到的結果如下：

若要還原為UNICODE風格，則選擇

4、退出IDA

4、1   退出時提示是否要儲存，我們選擇不儲存，且不存資料庫。

這樣我們資料夾中生成的四個檔案會被刪除：

id0:二叉樹資料庫
id1:檔案包含描述每個程式位元組的標記

nam:包含IDA NAME視窗的資料庫
til:本地資料庫有關資訊

4、2  儲存後退出。

儲存也有兩種方式，一種是壓縮，一種是不壓縮。

注意：在使用IDA過程中要經常儲存，因為IDA常會崩潰，這樣會造成資料丟失。