IDA使用之旅(一)用IDA檢視最簡單的sys檔案
歡迎大家拍磚!
本系列內容是我根據“知其所以然論壇”博主錄製的學習視訊,做的筆記。
下載後得到IDA.pro.5.5dapro55.zip檔案。
在Windows 下可以開發exe檔案,exe是不可逆向的,通過IDA可以把應用程式逆向,並非不是完全逆向,因為EXE已經把程式碼優化了。
DEBUG比RELEASE能更好逆向。
IDA它支援多種檔案的反彙編,如exe 、sys、dll等。
一、IDA軟體的安裝
1、安裝DIA軟體
把IDA.pro.5.5dapro55.zip解壓後得到,雙擊它安裝;
2、漢化
將IDA.pro.5.5dapro55.zip解壓後得到的檔案
繼續解壓得到,將它拷貝到IDS的安裝目錄下。
^-^ 此時執行IDA程式,可以看到程式介面了:
我們點選執行按鈕,進入到主介面:
二、測試一個最簡單的驅動程式
1、準備要測試的驅動程式
之所以簡單,是因為只有一個檔案sys.c,檔案中只有兩個函式:
#include <ntddk.h> VOID HelloDDKUnload (IN PDRIVER_OBJECT pDriverObject) { KdPrint(("Enter DriverUnload\n")); KdPrint(("Leave DriverUnload\n")); } extern NTSTATUS DriverEntry ( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath ) { NTSTATUS status; status=STATUS_SUCCESS; KdPrint(("Enter DriverEntry\n")); pDriverObject->DriverUnload = HelloDDKUnload; KdPrint(("DriverEntry end\n")); return status; }
編譯後得到我們的目標檔案: sys.sys
2、反彙編實現
把sys.sys拖到IDA程式裡。這裡要選擇載入的檔案型別:
第一個是:PE檔案
第二個是:DOS 可執行檔案
第三個是:二進位制檔案。(用於有時我們不知道它的檔案型別,eg:ROM映象檔案)
這裡我們按預設的。(一般程式會幫我們自動選擇型別。)
全部按預設,點確定;接下來會提示是否載入PDB檔案,點YES。
此時在輸出視窗中顯示:
此時我們的結果出來了.
3、簡要分析
我們可以看到在IDA View-A選項卡上會顯示三種顏色。
藍色: 表示是程式碼段;
棕色: 表示是資料段;
紅色: 表示是核心;
3、1 程式碼段
.sys檔案一般是從00010000開始的,而.exe一般是從00040000開始的,dll是從00070000開頭的。
在檢視的彙編程式碼中,如果可以識別符號進步重新命名,之後與它有關的所有名字都會改變。
接下來我們來檢視函式DriverEntry
下圖表示:把[email protected]的程式碼放入eax+34h的記憶體中。這樣當解除安裝時可以呼叫。
3、2 資料段
在資料段時若我們判斷是字串,那麼可以選擇以C風格來檢視。
得到的結果如下:
若要還原為UNICODE風格,則選擇
4、退出IDA
4、1 退出時提示是否要儲存,我們選擇不儲存,且不存資料庫。
這樣我們資料夾中生成的四個檔案會被刪除:
id0:二叉樹資料庫
id1:檔案包含描述每個程式位元組的標記
nam:包含IDA NAME視窗的資料庫
til:本地資料庫有關資訊
4、2 儲存後退出。
儲存也有兩種方式,一種是壓縮,一種是不壓縮。
注意:在使用IDA過程中要經常儲存,因為IDA常會崩潰,這樣會造成資料丟失。
相關推薦
IDA使用之旅(一)用IDA檢視最簡單的sys檔案
歡迎大家拍磚! 本系列內容是我根據“知其所以然論壇”博主錄製的學習視訊,做的筆記。 下載後得到IDA.pro.5.5dapro55.zip檔案。 在Windows 下可以開發exe檔案,exe是不可逆向的,通過IDA可以把應用程式逆向,並非不是完全逆向,因為EXE已
css重構之旅(一)
rdquo lan set 變化 部分 網站 一個 寬度 lang css重構之旅 >前言: 今年我大一,馬上就要大二了。從高三畢業暑假到大學的這一年馬上過去,馬上迎來大二生活.學習前端也有將近一年了。一昧去追求那些視覺的效果和相對高端和新穎的技術,反而忽略了最基礎
小白的linux學習之旅(一)
探索linux一、進入系統*)普通用戶登陸student 普通用戶,密碼student*)超級用戶登陸 —〉not listed 點擊未列出 username 提示輸入用戶名稱 —〉root root 為系統超級用戶 passw
dotNet程序員的Java爬坑之旅(一)
是我 方法 轉java 自己的 java pri 也好 工作 計劃 仔細想了下還是轉java吧,因為後期不管是留在北京也好還是回老家也好,java的工作都會好找一點。現在的工作主要還是寫.net,目標是下一次離職的時候可以找到一份全職的java工作,我一直都覺得實踐
webpack入坑之旅(一)不是開始的開始
targe base 增加 -i pre 版本 uil 靜態頁 obi 最近學習框架,選擇了vue,然後接觸到了vue中的單文件組件,官方推薦使用 Webpack + vue-loader構建這些單文件 Vue 組件,於是就開始了webpack的入坑之旅。因為原來沒有用過
RabbitMQ學習之旅(一)
RabbitMQ學習總結(一) RabbitMQ簡介 RabbitMQ是一個訊息代理,其接收並轉發訊息。類似於現實生活中的郵局:你把信件投入郵箱的過程,相當於往佇列中新增資訊,因為所有郵箱中的信件最終都會彙集到郵局中;當郵遞員把你的新建傳送給收件人的時候,相當於訊息的轉發。 RabbitMQ中
Python學習之旅(一)
Python的簡介 Python是一種面向物件的、動態的指令碼語言,可用來設計網頁和開發後臺功能。其創始人Guido van Rossum於1989年聖誕節期間創造了這門語言。 (圖片來自百度) Python的種類 CPython Jython IronPython PyPy …… 與J
小程式wepy踩坑之旅(一)---- thirdScriptError sdk uncaught third Error module "npm/lodash/_nodeUtil.js
近期一直在學小程式,作為新手,比較了下mpvue和wepy兩個小程式框架,mpvue作為美團剛出來的vuejs開發看起來很不錯,學習成本很低,但是對於在實際專案開發中,mpvue剛出來,很多資料,比如踩坑,比較少,而we
我的現代Javascript之旅(一)啟程、面向物件的現代Javascript
Javascript曾經被認為是一門小玩具似的指令碼語言。大部分 的程式設計師都覺得它只是輔助工具,用來頁面端校驗——僅此 而已。隨著Javascript語言的演變,其功能越來越強大。直到
記錄我的Python學習之旅(一)關於turtle庫的基本用法
關於庫函式的匯入方法:①import <> ②import <> as <> ③ from tutle import <> 1、turtle.setup(width,height,startx,starty) /
dart之旅(一)
console sta 環境安裝 ria odi 等價 app func tar 前言 最近在看 dart 了,本著 “紙上得來終覺淺,絕知此事 markdown” 的原則,準備邊學邊寫,寫一個系列,這是第一篇。學習過程中主要是參考 A Tour of the Dart L
Spring Boot 探索之旅(一)——Spring Boot 簡介
一、什麼是Spring Boot 隨著技術日新月異的發展,如今的軟體設計已不想曾經那般單一。業務複雜,功能繁瑣,大量三方元件的相互整合,成為了開發的一大難題。幸而,Spring Boot如同一道曙光,為我們java開發者帶來了福音,讓我們擺脫專案構架時各種配置的鬧心,得以專
學習Pytorch之旅----(一)
感覺很棒哦,大家可以動動手指到GitHub上點個Star偶~~ 言歸正傳,這是第一次記錄一個深度學習框架的部落格,加上作者自己的觀點和實踐,認真的分析和思考,之前都是寫在本子上@@ 1.Tensors張量 張量是用於GPU加速的類似於Numpy中ndarray的資料
C語言入門之旅 (一)
特殊的迴圈語句 ,讓for迴圈開始的方法: 將sum初始化為0;或者先在迴圈體外讀第一個數 注意要先判斷再運算,避免最後一個數據發生錯誤 for(sum=0;n!=-1;) { sum+=n; scanf(“%d”, n); } 輸入x,y之間的閏年 i
大疆無人機Android版SDK開發踩坑之旅(一)----前言
最近一段時間一直在做大疆無人機安卓版開發,這水也是挺深的,不仔細看官網SDK的介紹就會遇到各種各樣的坑,簡單記錄一下,希望可以讓其他人少走一些彎路。 安卓端用到的SDK大概有兩種:Android SDK和Android UX SDK Android SDK(官網介紹): 開發人員可以通過SDK
Java架構師之旅(一)
夜光序言: 如果世界和你,都掉進了河裡,我一定先救你,然後忘記世界的呼吸~ 正文: MVC框架的演變 我們安裝這個外掛解決沒有tomcat的問題,因為targ
小程式wepy踩坑之旅(一)---- thirdScriptError sdk uncaught third Error module "npm/lodash/_nodeUtil.js
近期一直在學小程式,作為新手,比較了下mpvue和wepy兩個小程式框架,mpvue作為美團剛出來的vuejs開發看起來很不錯,學習成本很低,但是對於在實際專案開發中,mpvue剛出來,
菜鳥與 cef 的邂逅之旅(一):cef 原始碼獲取與編譯
一、引言 最近工作中涉及到了有關嵌入瀏覽器控制元件的任務,並且要求支援 H5。之前使用了 wke,但是發現其對於 H5 的支援不夠好,因此只能選擇“聞名已久”的 cef。 cef 是什麼呢: CEF 全稱 Chromium Embedded Fram
Spring之旅(一)
Spring兩個重要的思想:依賴注入和麵向切片 看書後個人見解: 相同點:都是為了解耦,當然耦合度要適度不然都沒有關係和邏輯了 不同點:依賴注入注重解決物件和物件之間的解耦,每個物件不需
視訊學習之旅(一) SurfaceView控制元件--------------畫面重疊問題
有一個這樣的需求,下面有2個tab進行切換,第一個是錄影介面(暫定為介面A),第二個是拍照介面(暫定為介面B),我第一個想到的就是用SurfaceView控制元件來實現,在佈局檔案裡面它的屬性很簡單的。然後就想著錄影介面就顯示錄影預覽畫面,拍照介面就顯示拍照預覽畫面,但是當