ida

Squared Brackets in x86 asm from IDA

孤者浪人 提交于 2021-02-10 13:39:47
问题 I used IDA Starter to dissassemble a Windows program, and there is something I don't understand in the resulting assembler code: mov eax, dword_4033CC[eax*4] My question is, what the purpose of the squared brackets is. I found this other question, that is also about squared brackets, but I believe that this is a different context. 来源: https://stackoverflow.com/questions/49176047/squared-brackets-in-x86-asm-from-ida

x86 jnz after xor?

纵饮孤独 提交于 2021-02-04 17:43:59
问题 After using IDA Pro to disassemble a x86 dll, I found this code (Comments added by me in pusedo-c code. I hope they're correct): test ebx, ebx ; if (ebx == false) jz short loc_6385A34B ; Jump to 0x6385a34b mov eax, [ebx+84h] ; eax = *(ebx+0x84) mov ecx, [esi+84h] ; ecx = *(esi+0x84) mov al, [eax+30h] ; al = *(*(ebx+0x84)+0x30) xor al, [ecx+30h] ; al = al XOR *(*(esi+0x84)+0x30) jnz loc_6385A453 Lets make it simpler for me to understand: mov eax, b3h xor eax, d6h jnz ... How does the

Can't find plugins menu in IDA toolbar

蹲街弑〆低调 提交于 2021-01-29 08:14:57
问题 I'm using IDA pro 7.5 and I want to activate a plugin that I put in the plugins dir. in every tutorial I saw, I need to go to Edit -> Plugins and use the plugin but there is no Plugins menu in Edit. Thanks in advance for any help. 回答1: You should check the output window when you start IDA, if the plugin is not loaded, it will display the error. If the author added some print statements you will see them too. You can also start IDA with -z20 for plugin debug (see idat -h ). 来源: https:/

disassembling, changing and assembling DLL file

人盡茶涼 提交于 2020-04-30 07:22:06
问题 I have a DLL which I have disassembled, and just to test that my project is going to work. I have tried assembling it again but without luck. I'm getting different kinds of errors. The disassembly I have done with IDA Pro freeware, and then exported the file as an .asm, to try to assemble it again I have tried to use A86 assembler and flat assembler. Maybe I'm disassembling the DLL the wrong or using the wrong assembler, but could somebody maybe point me to some tools and/or resources about

disassembling, changing and assembling DLL file

眉间皱痕 提交于 2020-04-30 07:21:09
问题 I have a DLL which I have disassembled, and just to test that my project is going to work. I have tried assembling it again but without luck. I'm getting different kinds of errors. The disassembly I have done with IDA Pro freeware, and then exported the file as an .asm, to try to assemble it again I have tried to use A86 assembler and flat assembler. Maybe I'm disassembling the DLL the wrong or using the wrong assembler, but could somebody maybe point me to some tools and/or resources about

IDA使用初探-1.启动IDA

拜拜、爱过 提交于 2020-02-29 07:10:22
在传统的软件开发模型中,通过编译器、汇编器和链接器中的一个或几个创建可执行程序。为了回溯编程过程(对程序进行逆向工程),使用各种工具撤销汇编和编译过程,这些工具就叫做反汇编器和反编译器。反汇编器撤销汇编过程,可以得到汇编语言形式的输出结果;反编译器则以汇编语言甚至是机器语言作为输入,将高级语言结果输出。 但是反编译有几点困难至今还没有完美解决:编译过程造成损失;编译属于多对多操作;反编译非常依赖语言和库。 反汇编 算法 :线性扫描(linear sweep)和递归下降(recursive descent)两种主要的反汇编算法。 线性扫描:反汇编从第一个代码段的第一个字节开始,以线性模式扫描整个代码段,逐条反汇编每条指令,直到遍历全部字节。此方法对于长度固定的指令集(MIPS)反汇编会更加容易,因为可以方便的的定位到随后的指令。缺点就是无法正确的将嵌在代码中的数据分离出。 递归下降:根据一条指令是否被另一条指令引用来决定是否对其进行反汇编。 交互式反汇编器专业版,常常称其为IDA Pro,属于递归下降反汇编器。上周看书有一些心得,在这里一篇篇分享一下。 1.为了准备逆向用的实例,先用VC生成一个release版的Hello World。 1 #include <windows.h> 2 INT WINAPI WinMain(HINSTANCE hInstance, 3

IDA教程_IDA逆向训练

China☆狼群 提交于 2020-02-29 07:09:10
ZC: IDA新的模式"proximity view",快捷键:"-"触发"proximity view"(应该是小键盘减号),"+"放大返回到 函数 1、   【01:30】笨笨雄(nemo314@gmail.com) 写的教程   【03:22】重新载入exe,关闭时 的设置  【03:28】重新载入的时候,IDA会自动定位到程序入口   【03:36】IDA -->Options-->General...-->标签页"Disassembly"-->将"Line prefixes (graph)" 勾上,将"Number of opcode bytes (graph)"(操作码)设置为6 --> OK  【04:20】"Graph overview"   【05:00】注释 的快捷键 分号";"   【05:36】将 脱壳点 记录一下,用OD将它脱壳  【07:52】用LoadPE "纠正镜像大小"-->"完全脱壳"  【08:42】ImportREC_chs修复IAT   【10:45】介绍IDA功能,如何使用。以后单独一课再讲...   【13:11】见一下什么叫 交叉引用:程序中相互调用的地方。导入表 里面肯定是交叉引用的     【13:35】RegQueryValueExA,有"↑"的地方 就是交叉引用,双击"↑"处 随表来到一个交叉引用的地方     【】ZC:

IDA 搜索中文字符串

家住魔仙堡 提交于 2020-02-28 22:52:08
IDA 搜索中文字符串 IDA 的字符串窗口默认只能显示英文,网上的一些方法是指定启动时的参数可以显示中文 ida64 -DCULTURE=all ida -DCULTURE=all 还有就是修改 cfg/ida.cfg 文件,但是这两种方法都没试成功。实际上没有那么麻烦,IDA 7.0 操作很方便,在字符串列表窗口右键点击 Setup,如下图所示。 对话框勾上 Unicode C-style (16 bits),点击 OK,如下图所示。另外需要注意的是图中最后面的 Minimal string lenght 这个是设置最小的字符串长度的,比如设置为 5,那么长度小于 5 的字符串就显示不出来,这个可以根据不同的情况配置。如果配置的太小了,就会出现很多无意义的数据,可能并不是字符串. 设置好之后就可以显示中文字符了,搜索中文也没问题,如图所示。点击相应的字符串,可以定位到字符串在代码中的引用位置。 最后附上 IDA Pro 7.0 下载地址,Windows 和 macOS 版本,包含全部 F5 插件。 https://www.ioshacker.net/thread-116-1-1.html 来源: 51CTO 作者: xcmer2005 链接: https://blog.51cto.com/6095891/2437909

Official VirusTotal Plugin for IDA Pro 7

馋奶兔 提交于 2020-02-11 14:51:21
Official VirusTotal Plugin for IDA Pro 7 该插件在IDA Pro右键菜单(反汇编和字符串窗口)中添加了一个新的“ VirusTotal”条目,使您可以在VirusTotal上搜索相似或精确的数据。 它将用户选择转换为VTGrep可以理解的查询。下载地址 https://github.com/VirusTotal/vt-ida-plugin 当前的beta版本提供以下搜索选项: 搜索字节:它搜索所选区域中包含的字节。 搜索字符串:它搜索与在字符串窗口中选择的字符串相同的字符串。 搜索相似代码:标识当前选定区域中的内存偏移量或地址,并在搜索时忽略它们。 搜索相似代码(严格):与上面相同,但它也忽略当前所选区域中的所有常量。 搜索相似功能:与“相似代码”相同,但是您无需选择所有属于该功能的指令。 只需右键单击一条指令,它将自动检测功能边界,并选择当前功能的所有指令。 使用VTGrep内容搜索来跟踪DTrack样本 作为该插件如何加快分析过程的示例,我们对于2019年10月出现的DTrack样本进行了初步分析。提醒一下,该恶意软件被用于攻击Kudankulam核电站(KKNPP- 印度)于2019年9月4日生效,但直到10月底才得到印度印度核电有限公司(NPCIL)的公开承认。 这不是DTrack示例第一次重用先前攻击中的代码。 的确
订阅 ida