[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战

时间 2020-01-25 标签网络安全自学 ida pro 汇编工具逆向工程解密实战

这是做者的系列网络安全自学教程，主要是关于网安工具和实践操做的在线笔记，特分享出来与博友共勉，但愿您们喜欢，一块儿进步。上一篇文章分享了实验吧CFT实战的题目，涉及WEB渗透和隐写术常见题型，包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功惟快不破”和“隐写术之水果、小苹果”；这一篇文章将详细讲解IDA Pro反汇编工具的基础用法，并简单讲解一个EXE逆向工程解密实战方法。但愿对入门的博友有帮助，大神请飘过，谢谢各位看官！html

下载地址：https://github.com/eastmountyxz/NetworkSecuritySelf-study
百度网盘：https://pan.baidu.com/s/1dsunH8EmOB_tlHYXXguOeA 提取码：izebgit

PS：做为初学者，深知网络安全这块要学习的知识太多，但愿本身能始终保持满腔热血，科研结合实际慢慢前行。github

文章目录

一.IDA Pro工具简介及初识

二.IDA Pro工具基本用法

三.IDA Pro逆向工程实战

四.总结

前文学习：
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
 [网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登陆加密入门笔记
 [网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
 [网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密web

前文欣赏：
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
 [渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
 [渗透&攻防] 三.数据库之差别备份及Caidao利器
 [渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包数据库

一.IDA Pro工具简介及初识

1.IDA Pro简介

IDA Pro（Interactive Disassembler Professional）简称“IDA”，是Hex-Rays公司出品的一款交互式反汇编工具，是目前最棒的一个静态反编译软件，为众多0day世界的成员和ShellCode安全分析人士不可缺乏的利器。IDA Pro具备强大的功能，但操做较为复杂，须要储备不少知识，同时，它具备交互式、可编程、可扩展、多处理器等特色，能够经过Windows或Linux、MacOS平台来分析程序，被公认为最好的逆向工程利器之一。浏览器

IDA Pro已经成为分析敌意代码的标准并让其自身迅速成为攻击研究领域的重要工具。它支持数十种CPU指令集其中包括Intel x8六、x6四、MIPS、PowerPC、ARM、Z80、68000、c8051等等。sass

2.IDA Pro新建工程

IDA Pro是点击下一步傻瓜式安装，安装成功会后会显示两个运行程序“IDA Pro(32bit)”和“IDA Pro(64bit)”，分别对应32位和64位程序的分析。IDA支持常见的PE格式，DOS、UNIX、Mac、Java、.NET等平台的文件格式。安全

下面讲解首次打开IDA Pro的流程。网络

第一步：打开IDA Pro32软件

双击exe文件弹出以下图所示的“Support message”界面，点击OK按钮。

第二步：新建一个文件

IDA包括三种加载文件的方式，其中“New”是新建打开一个标准文件的对话框，“GO”是运行打开一个空白工做去，用户将要分析的文件拖入分析，“Previous”是选择最近一次使用过的文件。

第三步：选择一个exe文件载入，它将是咱们要进行分析的程序

做者经过C语言写了一段代码，并在本地生成一个“test01.exe”文件，它就是接下来分析的可执行文件。

#include<stdio.h>
int main()
{
	printf("Hello World!!!\n");
	return 0;
}

选择要导入的文件。

第四步：装载PE文件
在“Load a new file”窗口中选择装载PE文件，包括text（代码块）、data（数据块）、rsrc（资源块）、idata（输入表）和edata（输出表）等，也能够载入二进制文件。

IDA反汇编包括两个阶段，首先将程序的代码和数据分开，分别标记函数并分析参数调用、跳转、指令关系等；接着若是IDA能识别文件的编译类型，就装载对应的编译器特征文件，给各函数赋名。同时，IDA会建立一个数据库，其组件分别保存在“.id0”、“.id1”、“.nam”和“.til”的文件里。

接着弹出确认窗口，能够选择“Don’t show this message again”选项。

第五步：在“Check for Hex-Rays product updates”中点击“OK”
在接下来弹出的Hex-Rays信息框再点击OK后，会要求设置更新选项，这里直接点击OK，默认便可。

第六步：显示运行结果
此时，运行结果以下图所示，接着能够开始咱们的逆向分析。

IDA View显示以下图所示：

Hex View十六进制显示以下图所示：

下图能够看到代码中的“hello world!!!\n”。

第七步：查看源代码
按下F5可以查看对应的源代码。

第八步：关闭IDA Pro并保存数据库文件
保存IDB数据库文件至本地，它记录了用IDA Pro对该程序分析中的工做状态，包括反汇编分析、区段扫描、用户自定义结构、用户自定义名称、注释等信息。点击右上角的关闭按钮，弹出IDA Pro保存数据库窗口（Save Database），使用默认选项，直接点击OK便可以保存生成数据库（.idb）文件。

下次载入时，能够直接加载数据库文件，获取以前分析的状态。

二.IDA Pro工具基本用法

IDA Pro工具打开的主界面以下图所示：

IDA View窗口

该窗口显示以下图所示：

它是经过点击“View”中“Open subviews”->“Disaassembly”调出来的。

IDA View包括两种浏览模式，一种是Text View，一种是Graph View，右键可以相互跳转。

以下图所示，变换成另外一种模式。

IDA View主要包括三个区域：

地址区： PE文件加载到内存后的虚地址为准，镜像地址+偏移地址，如0x00401000
OpCode操做区： 该部分默认所以，须要Options->General->设置Number of opcode bytes为8显示出来，它是16进制数
反编译代码区： IDA主功能区域，能高亮显示，双击函数或变量名能跳转对应的地址。

Hex View窗口

显示16进制，默认为只读状态，能够用快捷键F2对数据区域（绿色字符区域）在只读和编辑两种状态切换。

Strings窗口

IDA的View有几个按钮对定位代码很重要，以下图所示：

Open exports window 打开导出窗口
Open import window 打开导入窗口
Open names window 函数和参数的命名列表
Open functions window 程序调用的全部函数窗口
Open strings window 打开字符串显示窗口

这里做者点击Strings显示程序中全部字符串，该窗口有助于你经过程序的运行输出逆向找出对应的代码片段，以下图的字符串及对应的Address。

双击String跳转IAD View页面，以下图所示的地址，单击会高亮。

其余窗口：

导出/入窗口：导出窗口列出文件的入口点，导入窗口列出由被分析的二进制文件导入的全部函数
函数窗口：函数名称，区域，起始位置，长度，描述函数的标记
结构体窗口：分析数据结构，双击数据结构名称展开，查看详细布局
枚举窗口：enums可列举，定义枚举类型
段窗口 segmentation：段的简单列表

文件类型

IDA会建立一个数据库，名为IDB文件，它由四个文件组成。

id0：二叉树形式的数据库
id1：程序字节标识
nam：Named窗口的索引信息
til：给定数据库的本地类型定义的相关信息

三.IDA Pro逆向工程实战

1.代码加密

前面第一篇博客讲解音乐文件一般采用异或加密，接下来做者经过C语言简单编写了一段加密代码，以下所示：

#include<stdio.h>
#include<string.h>

int main()
{
	int i;
	int len;
	char key[20];
	char res[20];
	char *num = "eastmount";     //密钥 
	char *right = "123456789";   //正确值 
	
	//请输入正确的密码
	printf("please input the key:");
	scanf("%s", &key);
	
	//判断
	len = strlen(key);
	if(len<6 || len>10) {
		printf("Error, The length of the key is 6~10\n");
	} 
	else {
		//加密
		for(i=0; i<len; i++) {
			res[i] = (key[i]^num[i]); //异或加密 
		}	 
		//printf("%s\n", res);
		if(strcmp(res, right)==0) {
			printf("You are right, Success.\n");
		} else {
			printf("Error, please input the right key.\n");
		}
	}
	
	return 0;
}

输入长度不在6-10之间反馈错误“Error, The length of the key is 6~10”，输入错误反馈“Error, please input the right key.”，正确的key才显示正确信息“You are right, Success.”。

接下来咱们经过IDA Pro工具解密这个EXE文件，尝试获取Key值。

2.逆向解密

第一步：按照第一部分步骤向IDA Pro中导入文件
显示的调用程序以下图所示。

树形图把条件分支清晰地显示出来了，左下角有IDA视图的缩略图。在上面点击能够快速定位到视图的指定位置，而且各个部分都有详细的代码信息，好比定义的两个变量及偏移位置。

第二步：查看字符串显示窗口
IDA Pro工具中菜单栏的View有几个按钮对定位代码很重要，以下图所示：

Open exports window 打开导出窗口
Open import window 打开导入窗口
Open names window 函数和参数的命名列表
Open functions window 程序调用的全部函数窗口
Open strings window 打开字符串显示窗口

这里做者点击Strings显示程序中全部字符串，该窗口有助于你经过程序的运行输出逆向找出对应的代码片段，以下图的字符串及对应的Address。

双击String跳转到以下图所示的地址，单击会高亮。

第三步：查看源代码
在以下图所示界面中按下F5键能够显示源代码。

显示的源代码以下所示：

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char Str1[32]; // [esp+38h] [ebp-50h]
  char Str[40]; // [esp+58h] [ebp-30h]
  int v6; // [esp+80h] [ebp-8h]
  int i; // [esp+84h] [ebp-4h]

  __main();
  printf("please input the key:");
  scanf("%s", Str);
  v6 = strlen(Str);
  if ( v6 > 5 && v6 <= 10 )
  {
    for ( i = 0; i < v6; ++i )
      Str1[i] = gcc2_compiled_[i] ^ Str[i];
    if ( !strcmp(Str1, "123456789") )
      printf("You are right, Success.\n");
    else
      printf("Error, please input the right key.\n");
  }
  else
  {
    printf("Error, The length of the key is 6~10\n");
  }
  return 0;
}

注意，该部分代码与以前写的C语言代码略有不一样，好比以前判断长度 if(len<6 || len>10) 提示错误，而这里是 if ( v6 > 5 && v6 <= 10 ) 正确执行，else显示错误。

这段代码的基本逻辑是输入字符串Str，而后循环与gcc2_compiled_变量异或加密，输出为Str1变量，当加密后的Str1变量值为“123456789”则解密成功，不然失败。
那么，gcc2_compiled_变量的值是多少呢？

第四步：定位核心代码
接着选中gcc2_compiled_变量，当它变高亮双击以后会跳转到对应的页面。

原来如此，它的密钥是“eastmount”，加密结果是“123456789”。

第五步：逆向解密
最后撰写解密代码，实现逆向解密，“eastmount” 异或输入代码Str，而且值等于123456789，则能够成功显示。

#include<stdio.h>
#include<string.h>

int main()
{
	int i;
	int len;
	char res[9];
	char *num = "eastmount";     //密钥 
	char *right = "123456789";   //正确值 
	
	
	//判断 TS@@XYBVM
	len = strlen(num);
	for(i=0; i<len; i++) {
		res[i] = (right[i]^num[i]); //异或加密
	}
	res[i] = 0;
	printf("The right key is: %s\n", res);
	return 0;
}

解密结果以下图所示：

注意，IDA Pro本地建立的文件以下图所示。

四.总结

写到这里，这篇基础性文章就叙述完毕，网络安全要学习的知识真的不少，涉及面很广，包括汇编、网络、操做系统、加密解密、C/C++、Python等。但愿本身能慢慢进步，科研与实践并重，也但愿读者喜欢这系列总结笔记。不喜勿喷，与你同行~

七夕两人又双叒异地了，三年前你在敦煌日出前写下“璋娜”，而今天我写了封情书做为礼物，三张薄纸，道不出无数思恋。武汉美，武大更美，但我知道此行的目的，是来求知，来充电的，吾家有女初成长，早日学成团聚才是个人归属。凌晨赶忙去写一篇博客，记录今天IDA Pro学习心得，女神节日快乐。

（By：杨秀璋 2019-08-07 周三深夜1点写于武汉 https://blog.csdn.net/Eastmount )