IDA实例教程详解.docx
《IDA实例教程详解.docx》由会员分享,可在线阅读,更多相关《IDA实例教程详解.docx(17页珍藏版)》请在冰点文库上搜索。
IDA实例教程详解
IDA实例教程详解
作者:
笨笨雄(转载)
1软件环境
静态分析有很多好处,例如加壳的程序(尽管对于高手来说这并不会耗费太多时间),我们不需要寻找OEP,也不需要解除自校验,只要修复IAT,DUMP下来就可以动手分析了。
假如你需要修改程序,可以使用内存补丁技术。
动态与静态,调试器与反汇编器结合可以简化分析任务,帮助我们理解代码。
因此掌握一种反汇编器是非常必要的。
IDA可以说是这方面的首选工具,它为我们提供了丰富的功能,以帮助我们进行逆向分析。
这从IDA复杂的工作界面便可以知道。
种类繁多的工具栏
在分辨率不高的情况,这些工具栏与反汇编窗口挤在小屏幕里,看起来不爽。
我一般把它关闭(查看=>工具栏=>主工具栏)以获得更好的视觉效果。
当我们需要这些功能的时候,直接使用快捷键就可以了。
下面是常用快捷键的清单:
快捷键
功能
注释
C
转换为代码
一般在IDA无法识别代码时使用这两个功能整理代码
D
转换为数据
A
转换为字符
N
为标签重命名
方便记忆,避免重复分析。
;
添加注释
R
把立即值转换为字符
便于分析立即值
H
把立即值转换为10进制
Q
把立即值转换为16进制
B
把立即值转换为2进制
G
跳转到指定地址
X
交叉参考
便于查找API或变量的引用
SHIFT+/
计算器
ALT+ENTER
新建窗口并跳转到选中地址
这四个功能都是方便在不同函数之间分析(尤其是多层次的调用)。
具体使用看个人喜好
ALT+F3
关闭当前分析窗口
ESC
返回前一个保存位置
CTRL+ENTER
返回后一个保存位置
在工具栏下面的便是工作窗口。
主要的窗口分页有“IDAView-A”、“Name”、“Strings”、“Exports”和“Imports”。
对于后面3项相信大家都不会陌生了,它们分别是字符参考,输出函数参考和输入函数参考。
Name是命名窗口,在那里可以看到我们命名的函数或者变量。
这四个窗口都支持索引功能,可以通过双击来快速切换到分析窗口中的相关内容,使用起来十分方便。
简单输入几个字符即可定位目标
IDAView-A是分析窗口,支持两种显示模式,除了常见的反汇编模式之后,还提供图形视图以及其他有趣的功能。
IDA的反汇编窗口
一般我们在分析的时候,并不关心程序的机械码,所以IDA为我们自动隐藏了这些信息。
如果你有需要,可以通过以下步骤来设置:
选项=>常规=>反汇编=>显示反汇编行部分=>机械码字节数=>修改为你允许显示的大小
现在让我们以论坛脱壳版块置顶帖的那个经典为例,看看图形视图的表现。
首先我们到以下连接下载:
你能通过图形视图及其缩略图快速找到壳的出口吗
如图所示,标签40EA0E便是壳的出口代码的地址。
在OD中直接跳到该地址,下断点,然后运行到该处,再单步便能看到OEP了。
假如希望通过跳转法找OEP,相信图形视图比你在OD一个一个跳转跟随,要快得多。
再来看看这个壳的另类脱法。
直接运行该程序,DUMP下来,再使用IMPORTREC的IATAutoSearch功能修复输入表。
用IDA打开修复了输入表的DUMP文件。
在IMPORT窗口随便选一个API,随便通过交叉参考跳转到一个函数的代码。
此处为文件输入表的位置
我选了RegQueryValueExA,通过交叉参考,来到Sub_402488处的函数代码。
用鼠标拖动缩略图中的虚线框到上方,便能看到该CALL的头部了。
然后按下图指示操作:
在函数标记上点击鼠标右键
处于最上层的函数,便是OEP了,使用PE工具修改文件入口为10CC。
现在函数可以正常工作了。
这个方法的原理是通常我们写程序都有如下流程:
Mainproc
","打开IAT符号文件");
CustEa=AskAddr(0,"目标IAT地址");
filehandle=fopen(fileName,"r");
for(ea=CustEa;zcount<2;ea=ea+4){
if(Dword(ea)!
=0){
Sbuffer=readstr(filehandle);
if(strlen(Sbuffer)<2){
00404C2C00404C2C00404C00404C404C6A00404C00404C00404C00404C00404C00404C00404C00404C00404C4A00404C00404C4F00404C4F00404C00404C00404C404C
4560F
0F
0F
0A0C8F5A5A83C
0A0C8F5A5A83C0a0a
0045639F004563A004563A004563A004563A004563C004563C004563C4563C4563C004563C004563F004563F4563F004563F004563F004563F004563F4563F0045640A0045640A45640A0045640Aseg005:
0045640A;Resendthelasttransmission
seg005:
0045640A
seg005:
0045640D;seg005:
0045640D
修复之后的代码
除了“subeax,[esp-8+arg_4]”(实际上是subeax,[esp])看起来有点怪之后,一切正常。
作为一个壳,在解决了花指令之后,剩下的问题便只有反调试代码和解密(解压缩)代码了。
例如上面列出的代码是通过时间校验检查调试器,一旦检查到,便使用特权级指令,让程序发生异常,无法继续运行下去。
当然,我们在静态的环境下,反调试技巧对于我们来说,毫无意义。
尽管如此,我们仍然需要知道程序会在什么时候运行到什么地方,最常见的利用系统的机制莫过于SEH了,现在来看看下面代码:
seg005:
00456A9Bcall$+5
seg005:
00456AA0adddwordptr[esp+0],136Fh
seg005:
00456AA7pushlargedwordptrfs:
0
seg005:
00456AAEmovlargefs:
0,esp
设置SEH的代码
“call$+5”指令后堆栈里的内容便是它的下一条指令在内存中的地址。
这是病毒常用的重定位技巧。
shift+/输入0x00456AA0+0x136F便能计算出异常处理函数的地址(457E0F)了。
seg005:
0045745Cxoreax,eax
seg005:
0045745Emovzxeax,byteptr[eax]
产生异常的代码
现在我们应该跳到457E0F继续分析。
我想你已经了解如何在静态环境下跟踪程序的流程,现在就让我们跟着程序的流程把解密相关的代码找出来。
seg005:
00459191pushecx
seg005:
00459192xorecx,ecx
seg005:
00459194call$+5
seg005:
00459199popedi
seg005:
0045919Aaddedi,9C4h
seg005:
004591A0popedx
seg005:
004591A1addedx,15h
seg005:
004591A4loc_4591A4:
;CODEXREF:
sub_459149+6Bj
seg005:
004591A4movzxeax,byteptr[ecx+edi]
seg005:
004591A8xoreax,edx
seg005:
004591AAmov[ecx+edi],al
seg005:
004591ADincecx
seg005:
004591AEcmpecx,93h
seg005:
004591B4jbshortloc_4591A4
解密代码
容易看出这就是解密代码,在循环之中,且有修改内存的指令。
至于解密的KEY,其实就是00459191处ECX的值+15h。
我希望你还记得到达这里之前曾经看过下面代码:
seg005:
004587B6moveax,[esp+0Ch]
seg005:
004587BAxorecx,ecx
seg005:
004587BCxorecx,[eax+4]
seg005:
004587BFxorecx,[eax+8]
seg005:
004587C2xorecx,[eax+0Ch]
seg005:
004587C5xorecx,[eax+10h]
这一段是检查硬件断点的代码,假如没有设置硬件断点,那么ECX的结果应该是0。
假如你不能理解为什么,我建议你看看SEH以及关于反硬件断点的一些文章。
在知道解密代码的所有关键要素之后,就可以开始动手写脚本了。
#include""
staticmain(){
autoStartAddr,cKey,Cbuffer,Counter;
StartAddr=0x00459199+0x9c4;
cKey=0x15;
for(Counter=0;Counter<0x93;Counter++){
Cbuffer=Byte(StartAddr)^cKey;
00461F00461F00461F
0046200F0046204C
0046206A0046206F0046207A
0046206A
00461F9C
0046206F
lse语句。
if(CF==1){
CF=0;
while(ECX!
=0){
PatchByte(DeCodeAddr,Byte(EDX));
EDX++;
DeCodeAddr++;
ECX--;
}
}
else{
while(Counter!
=1){
PatchDword(DeCodeAddr,Dword(EDX));
EDX=EDX+4;
DeCodeAddr=DeCodeAddr+4;
if(ECX<=4){
ECX=ECX-4;
break;
}
ECX=ECX-4;
}
DeCodeAddr=DeCodeAddr+ECX;
}
//反汇编代码的循环入口(4528DE)与我们转换的循环入口不同(4528E9)
//跟开始的时候一样,入口之前的代码放到循环外面。
IsNotZero=EBX&0x7FFFFFFF;
if(IsNotZero==0){
CF=1;
EBX=Dword(MyAddr);
MyAddr=MyAddr+4;
}
HigtBitflat=EBX&0x;
EBX=EBX+EBX;
EBX=EBX+CF;
CF=0;
}
}
至此,我们成功将004528D0到004529A1处的代码转换成C代码。
在完成如此复杂的代码还原之后,004529A6到004529D8处的反汇编代码只是小菜一碟。
里面的代码也很好理解,将符合E801和E901的机械码解密。
位移指令可以通过借用程序中的一个闲置的Dword,使用IDC提供的Pactch系列指令来模拟,详见。
在完成最后的解密代码后,便是IAT的修复了。
现在看看下面代码:
004529DAleaedi,[esi+50000h]
004529E0loc_4529E0:
004529E0moveax,[edi]
004529E2oreax,eax
004529E4jzshortloc_452A22
004529E4
004529E6movebx,[edi+4]
004529E9leaeax,[eax+esi+549B0h]
004529F0addebx,esi
004529F2pusheax
004529F3addedi,8
004529F6calldwordptr[esi+54A3Ch]
004529FCxchgeax,ebp
004529FDloc_4529FD:
004529FDmoval,[edi]
004529FFincedi
00452A00oral,al
00452A02jzshortloc_4529E0
00452A02
00452A04movecx,edi
00452A06pushedi
00452A07deceax
00452A08repnescasb
00452A0Apushebp
00452A0Bcalldwordptr[esi+54A40h]
00452A11oreax,eax
00452A13jzshortloc_452A1C
00452A13
00452A15mov[ebx],eax
00452A17addebx,4
00452A1Ajmpshortloc_4529FD
在分析该处代码之前,显然应该先把ESI的值计算出来。
鼠标点击ESI,以高亮显示该寄存器,向上滚动反汇编窗口,发现从004529A6popesi处开始,ESI便没有被修改过,而该处对应于:
seg005:
0046206Fmovesi,offsetunk_447000
seg005:
00462074leaedi,[esi-46000h]
seg005:
0046207Apushedi
可见ESI=0x401000,容易计算出004529F6和00452A0B处CALL的地址分别为455A3Ch和455A40h。
跳转到该地址:
显然,这里便是壳填充IAT的地方了。
那么004529DAleaedi,[esi+50000h]中,EDI便是保存API名字的数据表。
做脱壳机的任务就留给读者作课后练习,正如前面介绍的那样,只需要API的名字为相关IAT地址重命名,便能分析了。
也就是说00452A0B处,调用GetProcAddress,跟踪它的参数lpProcName(00452A06pushedi),以及它的返回值(00452A15mov[ebx],eax),当然这里的跟踪,可以象刚才那样手动确认,也可以通过与调试器配合快速得出结果。
不难得出下面脚本:
#include""
staticmain(){
autoESI,EDI,EAX,EBX,Counter,cBuffer,BufLen,straa;
ESI=0x447000-0x46000;
EDI=ESI+0x50000;
Counter=MaxEA()-MinEA();
MakeUnknown(MinEA(),Counter,1);//将整个程序标记未分析
AnalyzeArea(MinEA(),MaxEA());//分析整个程序
Counter=0;
while(Counter!
=1){
EAX=Dword(EDI);
if(EAX==0)break;
EBX=Dword(EDI+4);
EBX=EBX+ESI;
EDI=EDI+8;
while(Counter!
=1){
EAX=Byte(EDI);
EDI++;
if(EAX==0)break;
cBuffer=GetString(EDI,-1,ASCSTR_C);
straa=cBuffer+"_";//IDA不允许重复命名,加上“_”避免重复
MakeNameEx(EBX,straa,SN_AUTO);
EBX=EBX+4;
EDI=EDI+strlen(cBuffer);
EDI++;
}
}
}
注意解密后,必须将整个程序标记为未分析,并重新分析,然后才能进行重命名。
程序的OEP
到此,静态脱壳完毕。
从这个例子也可以知道,对于掌握反汇编器的人来说,除非反调试机制与解密KEY关联,否则根本就没有强度可言。
然而,IDA博大精深,还有更多强大的功能,本文也只是抛砖引玉而已。
下面给出几个链接,方便大家更进一步学习:
IDA的官方网站:
看雪论坛9月翻译专题:
&threadid=31023
IDAPro的插件开发SDK:
&threadid=31441
IDA逆向工程入门:
&threadid=40765
IDA简易教程:
升级会员 