锐客网

  1. 首页 > 睿知 > >

ida分析sub_函数

经验分享睿知

/在ida 函数 How中对应一个被微软称为dependencywalker的工具或VisualStudio附带的工具dumpbin , 查看dll 函数 name、函数 Parameters和调用方法(如__cdecl或__stdcall)的导出无法在工具中显示 。你需要用IDA或OllyDbg等反汇编器反汇编DLL,通过定位函数末尾的retn指令来判断参数个数和调用方法 。

1、如何在IDA中找到MFC程序的消息处理 函数pDoc > update all views(NULL);//pDoc文档指针或OnDraw();SendMessage(WM _ PAINT);MFC中函数 about对话框刷新无效idate(boolberasetrue);这个函数用来强制刷新更新窗口,UPDATA()用来和MFC的消息处理函数1交换数据 。AfxWndProc()负责接收消息并查找消息所属的CWnd对象 。然后调用AfxCallWndProc2 。AfxCallWndProc() 。这个函数负责保存消息(主要是消息标识符和消息参数)以供应用程序将来使用 。然后调用windowproc () 函数 3 。Windowproc()负责将消息发送给OnWndMsg() 函数 。如果没有处理,那么调用def window proc () 函数 4 。Onwndmsg()这个函数的函数首先按字节对消息进行排序,对于WM_COMMAND消息 , 调用on COMMAND()message response函数,对于WM_NOTIFY消息,调用OnNotif 。

可以打开exe 。如果找不到,可以用鼠标把exe拖进去 。如果是外壳,可能会看到外壳的拆卸 。如果一定是正常的 , 就会看到exe的反汇编 。还可以看到C代码 。Ollydbg调试和修改exe等文件的内部指令,使用IDA生成可读性稍差的反向代码 。两者结合更好 。前者用于运行调试,寻找目标指令的位置 , 后者是用于前期反转分析exe文件内部结构的工具 。怎么改,一句话也说不清 。大体原理可以告诉你使用ollydbg,运行,点击菜单栏打开,选择你的exe文件,运行 , 找到main 函数的位置,设置断点,一步运行 , 知道你要找的指令的位置,改变指令,注意保证指令的整体大小不变 。例如 , 指令的原始大小是4个字节,所以可以使用4个NOP指令 。即最终的exe文件大小保持不变,否则会损坏exe文件 。最后,保存修改后的内容 。不知道大家有没有大概的印象 。拆卸费时费力 。这需要耐心和经验,这取决于你的需求 。2、IDA 函数是地址吗IDA脚本输出所有函数名称和地址 。在使用IDA时,经常需要导出分析 OK 函数的结果,与OD或其他二进制分析 tools等其他软件结合使用 。这里我提供一个python脚本,可以把函数全部放到IDA里 。

3、逆向warmup1—— idapython的初步使用warmup 1:分析logic,我们可以知道judge是密钥函数,但它是加密的,所以我们需要解密judge 函数:在下面的python中 , 我们可以用python工具来破解,如下:sget _ 182)bufforiins:python>buf chr(int(i)^0xc)fromidaAPI import * patch _ bytes(0x 600 b 00

4、 ida中的关键 函数怎么对应到ollydbg中微软有一个工具叫dependencywalker或者dumpbin , 是VisualStudio附带的工具,可以查看dll 函数 name的导出,函数参数和调用方法(比如__cdecl或者__stdcall)无法在工具中显示 。需要使用IDA或OllyDbg等反汇编器来反汇编DLL , 通过定位函数末尾的retn指令来确定参数个数和调用方法 。

在IDA中 , 还可以使用F5快捷键,将反汇编代码转换成C代码,方便一点 。关于最后一个问题 , 至于思路,可以查看DLL 函数的导出 , 然后使用Detours类库绕过原来的函数HOOK,将HOOK 函数中的调用内容打印出来,这样就可以在日志文件或者调试输出中看到调用规则 。这纯粹是个人建议

5、如何使用 ida在apk执行前动态调试其so中的 函数对于Android手机ida在apk执行前动态调试其so函数方法11 。拆开另一个APK,插入一个:对应smali: Android 。OS 。系统时钟 。睡眠(20000);Constwide/16v0,0x2710 # 20s调用静态{v0,v (x1)},Android/OS/system clock;> sleep(J)V这里(X1)对应于 。localX 。

6、 ida跳转到调用 函数要跳转到函数在IDA中被调用的位置,可以按照以下步骤操作:选择要查看的函数在IDA中选择函数的名称或在函数窗口中双击函数的名称 , 查找调用-1/的指令通常,调用指令以call关键字开始 。右键单击调用指令,然后选择Jumptoxreftooperand选项 。这将显示一个菜单,显示函数的调用位置 。

7、 ida打开so找不到 函数您好,您的问题很常见,可能是因为IDA打开的SO文件中没有包含所需的函数信息 。首先 , 您可以检查SO文件是否完整,并确保它包含所有必需的函数信息 。其次 , 可以尝试使用其他工具查看SO文件,比如objdump,这样更容易查看函数 information 。最后,可以尝试使用IDA的调试功能查看函数的信息,这样会更容易定位函数 。
【ida分析sub_函数】1.首先检查so文件是否存在 , 是否可以正常访问;2.检查so文件是否加载正确,可以使用ldd命令查看;3.检查so文件中的函数是否声明正确,可以使用nm命令查看;4.检查函数的参数类型是否正确,可以使用objdump命令检查;5.检查是否正确调用了函数您可以使用strace命令来检查 。

    推荐阅读


    上一篇:libtcc 源码分析

    下一篇:p2p后台分析