@oro-oro
2015-10-28T06:40:34.000000Z
字数 5916
阅读 18490
一、《IDA Pro权威指南》入门笔记
IDAForAndroid
1. 准备 libhello-jni.so
$ cd android-ndk-r10d/samples/hello-jni/$ ndk-build[arm64-v8a] Gdbserver : [aarch64-linux-android-4.9] libs/arm64-v8a/gdbserver[arm64-v8a] Gdbsetup : libs/arm64-v8a/gdb.setup[x86_64] Gdbserver : [x86_64-4.9] libs/x86_64/gdbserver[x86_64] Gdbsetup : libs/x86_64/gdb.setup[mips64] Gdbserver : [mips64el-linux-android-4.9] libs/mips64/gdbserver[mips64] Gdbsetup : libs/mips64/gdb.setup[armeabi-v7a] Gdbserver : [arm-linux-androideabi-4.8] libs/armeabi-v7a/gdbserver[armeabi-v7a] Gdbsetup : libs/armeabi-v7a/gdb.setup[armeabi] Gdbserver : [arm-linux-androideabi-4.8] libs/armeabi/gdbserver[armeabi] Gdbsetup : libs/armeabi/gdb.setup[x86] Gdbserver : [x86-4.8] libs/x86/gdbserver[x86] Gdbsetup : libs/x86/gdb.setup[mips] Gdbserver : [mipsel-linux-android-4.8] libs/mips/gdbserver[mips] Gdbsetup : libs/mips/gdb.setup[arm64-v8a] Install : libhello-jni.so => libs/arm64-v8a/libhello-jni.so[x86_64] Install : libhello-jni.so => libs/x86_64/libhello-jni.so[mips64] Install : libhello-jni.so => libs/mips64/libhello-jni.so[armeabi-v7a] Install : libhello-jni.so => libs/armeabi-v7a/libhello-jni.so[armeabi] Install : libhello-jni.so => libs/armeabi/libhello-jni.so[x86] Install : libhello-jni.so => libs/x86/libhello-jni.so[mips] Install : libhello-jni.so => libs/mips/libhello-jni.so$ cd libs/armeabi$ lsgdb.setup gdbserver libhello-jni.so
2. IDA 简介
2.1 IDA 启动
IDA 每次启动的时候,都会看到这个快速开始的界面。
- New : 直接弹出一个窗口,让你选择要打开的文件。
- Go : 直接进入IDA界面。
如果想直接进入IDA界面,在下方的Display at startup打勾即可。
2.1 文件打开
打开文件有2种方式:
1、将要分析的文件拖入IDA中。
2、通过 File->Open 打开(相当于New的方式)。
IDA打开文件时,会遍历<IDA>/loaders目录中文件加载器[1](Loader),如果加载器能够识别该文件,则会将其显示到加载器列表中(如下图)。
Binary file(二进制文件)这是加载无法识别的文件是的默认选项。
ELF for ARM(Share object)[elf.ldw] 是文件加载器,libhello-jni.so就是ARM平台上的so。这太好了, 只需要点击OK进入IDA分析界面[2]。
2.2 IDA 数据库文件
打开文件后,IDA会在在文件目录创建一个数据库(.idb),其组件分别保存在4个文件中(id0,id1,nam,til)
- .id0文件:是一个二叉树形式的数据库
- .id1文件:包含描述每个程序字节的标记。
- .nam文件:包含与IDA的Names窗口[3]中显示的给定程序位置有关的索引信息。
- .til文件:用于存储与一个给定数据库的本地类型定义有关的信息。
$ lsgdb.setup libhello-jni.id0 libhello-jni.idb libhello-jni.sogdbserver libhello-jni.id1 libhello-jni.nam libhello-jni.til
为了方便,在关闭当前项目时,这4个文件将被存档。
如果关闭的时候,选择Pack database(如下图),它们将会被压缩成一个IDB文件。
$ lsgdb.setup gdbserver libhello-jni.idb libhello-jni.so
而这个IDB文件会保存之前分析人员对文件的分析和修改情况,譬如修改的代码或者增加的注释,都会保存在数据库中,而下次打开只需要打开数据库文件即可。
2.2 IDA 界面简介
2.2.1. 工具栏区域
包含与IDA的常用操作对应的工具。可以使用View->Toolbars显示或隐藏工具栏。
2.2.2. 概况导航栏(导航带)
导航带是被加载文件地址空间的线性视图。
在导航带上,会有一个细小的黄色的小箭头,指向与当前反汇编窗口中显示的地址范围对应的地址。
将光标悬停在导航带的任何位置,IDA会显示一个工具提示,指出其在二进制文件中的对应位置。
单击导航带,反汇编视图将跳转到二进制文件中你选定的位置。
2.2.3. 子视图标签
IDA为当前打开的每一个数据视图都以标签(TAB)的方式显示。
通过View->Open Subviews菜单开启或关闭的对应的视图。
2.2.4. 反汇编视图
也就是IDA View,是主要数据显示视图。
2.2.5. 图形概况视图
该视图仅在使用图形视图时显示,它显示图形视图的整体结构,其中的虚线矩形表示其在图
形视图中的当前显示位置。
在图形概况窗口内单击鼠标,可重新定位图形视图的显示位置。
2.2.6. 输出窗口
显示的是IDA的一些操作信息。
2.2.7. 函数窗口
用于列举IDA在数据库中识别的每一个函数。
stringFromJNI函数在二进制文件中.text部分,虚拟地址为00000C18,长度为0x44。
双击这个函数,反汇编窗口将跳转到选定函数所在的位置。
2.2.8. IDA的桌面配置
IDA 包含大量视图窗口,故工作桌面可能会变得异常混乱。
- 对IDA而言,屏幕越大越好。
Windows->Reset Desktop可迅速将桌面恢复到原始布局。Windows->Save Desktop可保存的当前桌面布局。Windows->Load Desktop可迅速打开之前保存的桌面布局。Options->Font,可设置Disassembly视图的字体,它是唯一一个可以修改字体的窗口。
3. IDA 主要的数据窗口
IDA为当前打开的每一个数据视图都以标签(TAB)的方式显示。
通过View->Open Subviews菜单开启或关闭的对应的视图。
3.1 IDA-View
这是反汇编视图,可以通过View->Open Subviews->Disassembly打开。
它有2种视图,使用空格键快捷键,可以在两个视图之间切换。
图形视图(Graph View)
在图形视图中,IDA显示的是某个函数在某一时间的流程图,可以通过该函数结构的视觉分解图来了解函数的运行情况。
图里有3种颜色的箭头:- 蓝色,顺序执行。
- 绿色,条件执行(Yes)。
- 红色,条件执行(No)。
出现条件执行的时候,必然会出现分支,这些语句通常是if等存在条件判断的语句。
注意:图形视图仅仅支持函数,一次显示一个函数。
文本视图(Text View)
文本视图内则是汇编代码的文本,如果是Text段/函数,则可以切换为图形视图。
下图
①为箭头区,实线表示非条件跳转,虚线表示条件跳转。
②为交叉引用,表示另外一个指令会调用/跳转到这里执行。
3.2 十六进制窗口(Hex View)
这个窗口显示文件的16进制,且自动同反汇编窗口(IDA View)同步。
譬如,我们在IDA View看00000C18处的stringFromJNI函数,点击Hex View,它会自动跳到00000C18这个位置,且会高亮00000C18处的16进制代码。
当然,也可以取消这个2个窗口的同步。
3.3 导出窗口(Exports)
导出窗口列出文件的入口点,它提供与objdump (-T)、readelf (-s)和dumpbin (/EXPORTS)等命令行工具类似的功能。
双击窗口中的一个条目,IDA将会跳转到反汇编窗口中与该项目有关的地址。
3.4 导入窗口(Imports)
它列出由被分析的二进制文件导入的所有函数。
只有在二进制文件使用共享库时,IDA才需要用到导入窗口。静态链接的二进制文件不存在外部依赖关系,因此不需要导入其他内容。
由于被导入的函数的代码位于共享库中,窗口中每个条目列出的地址为相关导入表条目的虚拟地址。
IDA是一种静态分析工具,它无法获知程序在执行时会在这个内存位置输入什么地址。
导入窗口还提供与objdump (-T)、readelf (-s)和dumpbin (/IMPORTS)等命令行工具类似的功能。
对于导入窗口,需要记住的一点是:导入窗口仅显示二进制文件想要动态加载器自动处理的
符号,二进制文件选择使用dlopen/dlsym或LoadLibrary/GetProcAddress等机制自行加载的符号将
不会在导入窗口中显示。
3.5 结构体窗口(Structures)[4]
结构体窗口用于显示IDA决定在一个二进制文件中使用的任何复杂的数据结构(如C结构体和
联合)的布局。
3.6 Strings窗口
Strings窗口中显示的是从二进制文件中提取出的一组字符串,以及每个字符串所在的地址,功能等同于strings及其他一些实用工具,可以通过View->Open Subviews->trings打开该窗口。
双击Strings窗口中的任何字符串,反汇编窗口将跳转到该字符串所在的地址。将Strings窗口与交叉引用[5]相结合,可迅速定位你感兴趣的字符串,并追踪到程序中任何引用该字符串的位置。
IDA并不会永久保存它从二进制文件中提取出的字符串。因此,每次打开Strings窗口,IDA都会扫描或重新扫描整个数据库,查找其中的字符串[6]。
3.7 Names窗口
它简要列举了一个二进制文件的所有全局名称。
名称是指对一个程序虚拟地址的符号描述。在最初加载文件的过程中,IDA会根据符号表和签名分析派生出名称列表。双击Names窗口中的名称,可立即跳转到显示该名称的反汇编视图。
Names窗口中显示的名称采用了颜色和字母编码:
- F,常规函数。IDA认为这些函数不属于库函数。
- L,库函数。IDA通过签名匹配算法来识别库函数。如果某个库函数的签名并不存在,则
该函数将被标记为常规函数。 - I,导入的名称,通常为共享库导入的函数名称。它与库函数的区别在于:导入的名称没
有代码,而库函数的主体将在反汇编代码清单中显示。 - C,命名代码。这些是已命名的程序指令位置,IDA认为它们不属于任何函数。当IDA在
程序的符号表中找到一个名称,但没发现对程序位置的任何调用时,就会出现这种情况。 - D,数据。已命名数据的位置通常表示全局变量。
- A,字符串数据。这是一个被引用的数据位置,其中包含的一串字符符合IDA的某种已知
的字符串数据类型,如以'\0'字节结束的ASCIIC 字符串。
浏览反汇编代码清单时,其中许多已命名的位置在Named窗口中并没有对应的名称。在对一个程序进行反汇编的过程中,IDA会为所有直接作为代码(分支或调用目标)或数据(读取的、写入的或使用的地址)引用的位置生成名称。如果一个位置已在程序符号表中命名,IDA将采用该名称。如果符号表中某一程序位置没有名称,则IDA会生成一个默认的名称,以在反汇编过程中使用。
在IDA给某个位置命名时,它会使用该位置的虚拟地址和一个表示该位置的类型的前缀进行命名。
将虚拟地址合并到生成的名称中,可确保生成的所有名称的唯一性,因为没有两个位置的虚拟地址是相同的。这种自动生成的名称并不在Names窗口中显示。用于自动生成名称的一些常用前缀包括以下这些。
- sub_xxxxxx:地址xxxxxx处的子例程。
- loc_xxxxxx:地址xxxxxx处的一个指令。
- byte_xxxxxx:位置xxxxxx处的8位数据。
- word_xxxxxx:位置xxxxxx处的16位数据。
- dword_xxxxxx:位置xxxxxx处的32位数据。
- unk_xxxxxx:位置xxxxxx处的大小未知的数据。
3.8 段窗口
段窗口显示的是在二进制文件中出现的段的简要列表。
需要注意的在,在讨论二进制文件的结构时,IDA术语段(segment)常称为节(section)。
请不要将这里的术语段与实施分段内存体系结构的CPU中的内存段混淆。
该窗口中显示的信息包括段名称、起始和结束地址以及许可标志。
起始和结束地址代表程序段在运行时对应的虚拟地址范围。
libhello-jni.so 明显是一个elf格式的文件,这是由IDA加载器识别出来的。
双击段窗口中的任何条目,IDA将跳转到反汇编窗口中该段的起始位置。
右击一个条目,IDA将显示一个上下文菜单,你可以选择添加新段、删除现有段、或者编辑现有段的属性。在对非标准格式的文件进行逆向工程时,这些功能特别有用,因为二进制文件的段结构可能还没有被IDA加载器检测出来。
段窗口所对应的命令行工具包括objdump (-h)、readelf (-s)和dumpbin (/HEADERS)。
