7.2.3 IDA静态分析之定位(第四十一课)
以下为图文内容:7.2.3 IDA静态分析之定位
0x01 静态分析的着重点
也许在解密逻辑眼前,静态分析的意义变得分文不值,对于静态分析来讲,最重要的
就是偏移地址,偏移地址取得好,可以给动态调试省去不少麻烦,而更为重要的一点就是
静态分析不会出现进程突然崩溃,或者出现程序假死状态。
0x02 静态分析三大定位方案
1、字符串定位
字符串定位是很好的定位程序方式,如CTF中第一个需要定位的就是flag,字符串寻
找flag是最为简单的方式,字符串定位的操作方案(如下图所示),寻找到Strings选项,
跳转入字符串遍历,在字符串遍历中寻找(ctrl+f)关键字符,双击跳转至相关数据段,
要想知道相关引用,可以使用交叉引用(ctrl+x)寻找,或者是直接点击该数据地址
的相关交叉引用注释说明结尾的光标处(如下图所示)
最后定位到相关点调用处的代码,这里注意一点就是,使用交叉引用寻找相关调用点,
会比直接点击注释的方法寻找详细的多,因为引用点不止一处,通过交叉引用查看,可以
获取全部调用模块,减少分析出错率。
2、函数定位
函数定位是最简单直接的方案,这种大多用在相关java调用navite方法进行生成的
C++层函数中总带着Java_+包名(“_”代替”.”)+方法名,如下图所示,因此,若要直截
了当找到相关java层的返回值,可以直接通过该方案定位。
**** Hidden Message *****
感谢楼主 {:5_193:}感谢楼主 感谢楼主分享! 感谢楼主的分享 让 江小白 来看看帖子里藏了啥好东西~~~ 感谢楼主 感谢楼主 楼主好强啊!学习了! 还有嘛?我需要更多的!