网络安全自学篇（五）| IDA Pro反汇编工具初识及逆向工程解密实战

1.IDA Pro简介

IDA Pro（Interactive Disassembler Professional）简称“IDA”，是Hex-Rays公司出品的一款交互式反汇编工具，是目前最棒的一个静态反编译软件，为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器。IDA Pro具有强大的功能，但操作较为复杂，需要储备很多知识，同时，它具有交互式、可编程、可扩展、多处理器等特点，可以通过Windows或Linux、MacOS平台来分析程序， 被公认为最好的逆向工程利器之一。

IDA Pro已经成为分析敌意代码的标准并让其自身迅速成为攻击研究领域的重要工具。它支持数十种CPU指令集其中包括Intel x86、x64、MIPS、PowerPC、ARM、Z80、68000、c8051等等。

2.IDA Pro新建工程

IDA Pro是点击下一步傻瓜式安装，安装成功会后会显示两个运行程序“IDA Pro(32bit)”和“IDA Pro(64bit)”，分别对应32位和64位程序的分析。IDA支持常见的PE格式，DOS、UNIX、Mac、Java、.NET等平台的文件格式。

下面讲解首次打开IDA Pro的流程。

第一步：打开IDA Pro32软件

双击exe文件弹出如下图所示的“Support message”界面，点击OK按钮。

第二步：新建一个文件

IDA包括三种加载文件的方式，其中“New”是新建打开一个标准文件的对话框，“GO”是运行打开一个空白工作去，用户将要分析的文件拖入分析，“Previous”是选择最近一次使用过的文件。

第三步：选择一个exe文件载入，它将是我们要进行分析的程序

作者通过C语言写了一段代码，并在本地生成一个“test01.exe”文件，它就是接下来分析的可执行文件。

#include<stdio.h> int main() {           printf("Hello World!!!n");           return 0; } 

选择要导入的文件。

第四步：装载PE文件

在“Load a new file”窗口中选择装载PE文件，包括text（代码块）、data（数据块）、rsrc（资源块）、idata（输入表）和edata（输出表）等，也可以载入二进制文件。

IDA反汇编包括两个阶段，首先将程序的代码和数据分开，分别标记函数并分析参数调用、跳转、指令关系等；接着如果IDA能识别文件的编译类型，就装载对应的编译器特征文件，给各函数赋名。同时，IDA会创建一个数据库，其组件分别保存在“.id0”、“.id1”、“.nam”和“.til”的文件里。

接着弹出确认窗口，可以选择“Don’t show this message again”选项。

第五步：在“Check for Hex-Rays product updates”中点击“OK” 

在接下来弹出的Hex-Rays信息框再点击OK后，会要求设置更新选项，这里直接点击OK，默认即可。

第六步：显示运行结果

此时，运行结果如下图所示，接着可以开始我们的逆向分析。

IDA View显示如下图所示：

Hex View十六进制显示如下图所示：

下图可以看到代码中的“hello world!!!n”。

第七步：查看源代码

按下F5能够查看对应的源代码。

第八步：关闭IDA Pro并保存数据库文件

保存IDB数据库文件至本地，它记录了用IDA Pro对该程序分析中的工作状态，包括反汇编分析、区段扫描、用户自定义结构、用户自定义名称、注释等信息。点击右上角的关闭按钮，弹出IDA Pro保存数据库窗口（Save Database），使用默认选项，直接点击OK即可以保存生成数据库（.idb）文件。

下次载入时，可以直接加载数据库文件，获取之前分析的状态。

IDA Pro工具打开的主界面如下图所示：

IDA View窗口

该窗口显示如下图所示：

它是通过点击“View”中“Open subviews”->“Disaassembly”调出来的。

IDA View包括两种浏览模式，一种是Text View，一种是Graph View，右键能够相互跳转。

如下图所示，变换成另一种模式。

IDA View主要包括三个区域：

• 地址区： PE文件加载到内存后的虚地址为准，镜像地址+偏移地址，如0x00401000

• OpCode操作区： 该部分默认因此，需要Options->General->设置Number of opcode bytes为8显示出来，它是16进制数

• 反编译代码区： IDA主功能区域，能高亮显示，双击函数或变量名能跳转对应的地址。

Hex View窗口

显示16进制，默认为只读状态，可以用快捷键F2对数据区域（绿色字符区域）在只读和编辑两种状态切换。

Strings窗口

IDA的View有几个按钮对定位代码很重要，如下图所示：

• Open exports window 打开导出窗口

• Open import window 打开导入窗口

• Open names window 函数和参数的命名列表

• Open functions window 程序调用的所有函数窗口

• Open strings window 打开字符串显示窗口

这里作者点击Strings显示程序中所有字符串，该窗口有助于你通过程序的运行输出逆向找出对应的代码片断，如下图的字符串及对应的Address。

双击String跳转IAD View页面，如下图所示的地址，单击会高亮。

其他窗口： 

• 导出/入窗口：导出窗口列出文件的入口点，导入窗口列出由被分析的二进制文件导入的所有函数 函数窗口：

• 函数名称，区域，起始位置，长度，描述函数的标记

• 结构体窗口：分析数据结构，双击数据结构名称展开，查看详细布局

• 枚举窗口：enums可列举，定义枚举类型

• 段窗口 segmentation：段的简单列表

文件类型

IDA会创建一个数据库，名为IDB文件，它由四个文件组成。

• id0：二叉树形式的数据库

• id1：程序字节标识

• nam：Named窗口的索引信息

• til：给定数据库的本地类型定义的相关信息

1.代码加密

前面第一篇 博客 讲解音乐文件通常采用异或加密，接下来作者通过C语言简单编写了一段加密代码，如下所示：

#include<stdio.h> #include<string.h>
int main() {           int i;           int len;           char key[20];           char res[20];           char *num = "eastmount";     //密钥            char *right = "123456789";   //正确值
        //请输入正确的密码           printf("please input the key:");           scanf("%s", &key);
        //判断           len = strlen(key);           if(len<6 || len>10) {                      printf("Error, The length of the key is 6~10n");           }            else {                      //加密                      for(i=0; i<len; i++) {                                res[i] = (key[i]^num[i]); //异或加密                       }                         //printf("%sn", res);                      if(strcmp(res, right)==0) {                                printf("You are right, Success.n");                      } else {                                printf("Error, please input the right key.n");                      }           }                      return 0; }

输入长度不在6-10之间反馈错误“Error, The length of the key is 6~10”，输入错误反馈“Error, please input the right key.”，正确的key才显示正确信息“You are right, Success.”。

2.逆向解密

第一步：按照第一部分步骤向IDA Pro中导入文件

显示的调用程序如下图所示。

树形图把条件分支清晰地显示出来了，左下角有IDA视图的缩略图。在上面点击可以快速定位到视图的指定位置，并且各个部分都有详细的代码信息 ，比如定义的两个变量及偏移位置。

第二步：查看字符串显示窗口

IDA Pro工具中菜单栏的View有几个按钮对定位代码很重要，如下图所示： 

• Open exports window 打开导出窗口

• Open import window 打开导入窗口

• Open names window 函数和参数的命名列表

• Open functions window 程序调用的所有函数窗口

• Open strings window 打开字符串显示窗口

这里作者点击Strings显示程序中所有字符串，该窗口有助于你通过程序的运行输出逆向找出对应的代码片断，如下图的字符串及对应的Address。

双击String跳转到如下图所示的地址，单击会高亮。

第三步：查看源代码

在如下图所示界面中按下F5键可以显示源代码。

显示的源代码如下所示：

int __cdecl main(int argc, const char **argv, const char **envp) {     char Str1[32]; // [esp+38h] [ebp-50h]     char Str[40]; // [esp+58h] [ebp-30h]     int v6; // [esp+80h] [ebp-8h]     int i; // [esp+84h] [ebp-4h]
  __main();     printf("please input the key:");     scanf("%s", Str);     v6 = strlen(Str);     if ( v6 > 5 && v6 <= 10 )     {          for ( i = 0; i < v6; ++i )              Str1[i] = gcc2_compiled_[i] ^ Str[i];          if ( !strcmp(Str1, "123456789") )              printf("You are right, Success.n");          else              printf("Error, please input the right key.n");    }     else    {          printf("Error, The length of the key is 6~10n");    }    return 0; }

注意，该部分代码与之前写的C语言代码略有不同，比如之前判断长度 if(len<6 || len>10) 提示错误，而这里是 if ( v6 > 5 && v6 <= 10 ) 正确执行，else显示错误。

这段代码的基本逻辑是输入字符串Str，然后循环与gcc2_compiled_变量异或加密，输出为Str1变量，当加密后的Str1变量值为“123456789”则解密成功，否则失败。那么，gcc2_compiled_变量的值是多少呢？

第四步：定位核心代码

接着选中gcc2_compiled_变量，当它变高亮双击之后会跳转到对应的页面。

原来如此，它的密钥是“eastmount”，加密结果是“123456789”。

第五步：逆向解密

最后撰写解密代码，实现逆向解密，“eastmount” 异或输入代码Str，并且值等于123456789，则可以成功显示。

#include<stdio.h> #include<string.h>
int main() {           int i;           int len;           char res[9];           char *num = "eastmount";     //密钥            char *right = "123456789";   //正确值

        //判断 TS@@XYBVM           len = strlen(num);           for(i=0; i<len; i++) {                     res[i] = (right[i]^num[i]); //异或加密           }           res[i] = 0;           printf("The right key is: %sn", res);           return 0; }

解密结果如下图所示：

注意，IDA Pro本地 创建的文件如下图所示。

写到这里，这篇基础性文章就叙述完毕，网络安全要学习的知识真的很多，涉及面很广，包括汇编、网络、操作系统、加密解密、C/C++、Python等。希望自己能慢慢进步，科研与实践并重，也希望读者喜欢这系列总结笔记。不喜勿喷，与你同行~

原文链接：

https://blog.csdn.net/Eastmount/article/details/98789742