IDA使用tips

随着大家的研究逐渐深入,这些细节可以极大地提升分析效率

IDA中各种命名前缀(sub、loc、offset等)的含义

转自:[http://blog.csdn.net/lloveyou520/article/details/6262218][1]

IDA自动生成假名字。他们用于表示子函数,程序地址和数据。
根据不同的类型和值假名字有不同前缀
sub_ 指令和子函数起点
locret_ 返回指令
loc_ 指令
off_ 数据,包含偏移量
seg_ 数据,包含段地址值
asc_ 数据,ASCII字符串
byte_ 数据,字节(或字节数组)
word_ 数据,16位数据(或字数组)
dword_ 数据,32位数据(或双字数组)
qword_ 数据,64位数据(或4字数组)
flt_ 浮点数据,32位(或浮点数组)
dbl_ 浮点数,64位(或双精度数组)
tbyte_ 浮点数,80位(或扩展精度浮点数)
stru_ 结构体(或结构体数组)
algn_ 对齐指示
unk_ 未处理字节

在graph view里显示offset

先切换到graph view,然后在菜单上的“Options”、“General”里勾选
image
即可。效果如图:


这样在下断点时就不用在text view和graph view间切来切去啦~

rebase program

还记得书中第4章里提到的一个公式,

偏移后模块基地址 = 偏移前模块基地址 + ASLR偏移

吗?在书上的例子里,我们在每次下断点的时候,均是通过先手工在IDA里查看的偏移前模块基地址,再手工在LLDB里查看ASLR偏移,最后手工在计算器里将两者相加的方式来计算偏移后模块基地址的,虽然结果可以保证100%正确,但操作流程稍有些复杂。接下来,我们一起看看,如何才能只手工操作一次,就可以搞定所有断点的地址,让IDA直接显示计算好的偏移后模块基地址。
i) 首先在LLDB里查看待分析模块的ASLR偏移(下面以SpringBoard为例)

(lldb) image list -o -f
[  0] 0x0002b000 /System/Library/CoreServices/SpringBoard.app/SpringBoard(0x000000000002f000)

SpringBoard的ASLR偏移是0x2b000。

ii) 然后打开IDA并rebase program
在菜单上的“Edit”、“Segments”、“Rebase program…”里将“Value”的值加上SpringBoad的ASLR偏移,如图所示:
image
原值是0x4000,加上0x2b000后变为0x2f000:
image
点击OK后,IDA会rebase整个二进制文件,稍安勿躁。

iii) 在IDA里定位到目标指令,直接下断点
比如说我想在[SpringBoard _menuButtonDown:]上下断点,那么先在IDA里找到这个函数:


然后用LLDB直接在IDA里看到的值,即0x42620下断点:

(lldb) br s -a 0x42620
Breakpoint 1: where = SpringBoard`___lldb_unnamed_function299$$SpringBoard, address = 0x00042620
(lldb) c
error: Process is running.  Use 'process interrupt' to pause execution.
Process 687 stopped
* thread #1: tid = 0x02af, 0x00042620 SpringBoard`___lldb_unnamed_function299$$SpringBoard, queue = 'com.apple.main-thread, stop reason = breakpoint 1.1
    frame #0: 0x00042620 SpringBoard`___lldb_unnamed_function299$$SpringBoard
SpringBoard`___lldb_unnamed_function299$$SpringBoard:
-> 0x42620:  push   {r4, r5, r6, r7, lr}
   0x42622:  add    r7, sp, #12
   0x42624:  push.w {r8, r10, r11}
   0x42628:  sub    sp, #80
(lldb) p (char *)$r1
(char *) $0 = 0x003a5796 "_menuButtonDown:"
(lldb) po $r0
<SpringBoard: 0x15a3ee00>
(lldb) c
Process 687 resuming

这样就不用每次都在IDA和LLDB间切换了,大大提升了调试效率 :smile:
[1]: http://blog.csdn.net/lloveyou520/article/details/6262218

7 个赞

楼主真细心呀:smile:

狗神发的东西就是有用!

实用,点个赞!!!