[系统安全] 三.IDA Pro反汇编工具初识及逆向解密实战
娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来,与大家一起进步。
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文普及了逆向分析基础知识,告诉大家如何学好逆向分析;这篇文章将详细讲解IDA Pro反汇编工具的基础用法,并简单讲解一个EXE逆向工程解密实战方法。希望对入门的同学有帮助,作者的目的是与安全人共同进步,加油~
IDA和OD是逆向分析和系统安全领域的“倚天屠龙”,掌握它们的用法至关重要,甚至决定你的深度。
文章目录:
一.IDA Pro工具简介及初识
二.IDA Pro工具基本用法
三.IDA Pro逆向工程实战
1.代码加密 2.逆向解密
作者的github资源:
https://github.com/eastmountyxz
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。
一.IDA Pro工具简介及初识
1.IDA Pro简介
IDA Pro(Interactive Disassembler Professional)简称“IDA”,是Hex-Rays公司出品的一款交互式反汇编工具,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器。IDA Pro具有强大的功能,但操作较为复杂,需要储备很多知识,同时,它具有交互式、可编程、可扩展、多处理器等特点,可以通过Windows或Linux、MacOS平台来分析程序, 被公认为最好的逆向工程利器之一。
IDA Pro已经成为分析敌意代码的标准并让其自身迅速成为攻击研究领域的重要工具。它支持数十种CPU指令集其中包括Intel x86、x64、MIPS、PowerPC、ARM、Z80、68000、c8051等等。
2.IDA Pro新建工程
IDA Pro是点击下一步傻瓜式安装,安装成功会后会显示两个运行程序“IDA Pro(32bit)”和“IDA Pro(64bit)”,分别对应32位和64位程序的分析。IDA支持常见的PE格式,DOS、UNIX、Mac、Java、.NET等平台的文件格式。
下面讲解首次打开IDA Pro的流程。
第一步:打开IDA Pro32软件
双击exe文件弹出如下图所示的“Support message”界面,点击OK按钮。
第二步:新建一个文件
IDA包括三种加载文件的方式,其中“New”是新建打开一个标准文件的对话框,“GO”是运行打开一个空白工作区,用户将要分析的文件拖入分析,“Previous”是选择最近一次使用过的文件。
第三步:选择一个exe文件载入,它将是我们要进行分析的程序
作者通过C语言写了一段代码,并在本地生成一个“test01.exe”文件,它就是接下来分析的可执行文件。
#include<stdio.h>int main(){ printf("Hello World!!!\n"); return 0;}选择要导入的文件。
第四步:装载PE文件
在“Load a new file”窗口中选择装载PE文件,包括text(代码块)、data(数据块)、rsrc(资源块)、idata(输入表)和edata(输出表)等,也可以载入二进制文件。
IDA反汇编包括两个阶段,首先将程序的代码和数据分开,分别标记函数并分析参数调用、跳转、指令关系等;接着如果IDA能识别文件的编译类型,就装载对应的编译器特征文件,给各函数赋名。同时,IDA会创建一个数据库,其组件分别保存在“.id0”、“.id1”、“.nam”和“.til”的文件里。
接着弹出确认窗口,可以选择“Don't show this message again”选项。
第五步:在“Check for Hex-Rays product updates”中点击“OK”
在接下来弹出的Hex-Rays信息框再点击OK后,会要求设置更新选项,这里直接点击OK,默认即可。
第六步:显示运行结果
此时,运行结果如下图所示,接着可以开始我们的逆向分析。
IDA View显示如下图所示:
Hex View十六进制显示如下图所示:
下图可以看到代码中的“hello world!!!\n”。
第七步:查看源代码
按下F5能够查看对应的源代码。
第八步:关闭IDA Pro并保存数据库文件
保存IDB数据库文件至本地,它记录了用IDA Pro对该程序分析中的工作状态,包括反汇编分析、区段扫描、用户自定义结构、用户自定义名称、注释等信息。点击右上角的关闭按钮,弹出IDA Pro保存数据库窗口(Save Database),使用默认选项,直接点击OK即可以保存生成数据库(.idb)文件。
下次载入时,可以直接加载数据库文件,获取之前分析的状态。
二.IDA Pro工具基本用法
IDA Pro工具打开的主界面如下图所示:
IDA View窗口
该窗口显示如下图所示:
它是通过点击“View”中“Open subviews”->“Disaassembly”调出来的。
IDA View包括两种浏览模式,一种是Text View,一种是Graph View,右键能够相互跳转。
如下图所示,变换成另一种模式。IDA View主要包括三个区域:
地址区:PE文件加载到内存后的虚地址为准,镜像地址+偏移地址,如0x00401000
OpCode操作区:该部分默认因此,需要Options->General->设置Number of opcode bytes为8显示出来,它是16进制数
反编译代码区:IDA主功能区域,能高亮显示,双击函数或变量名能跳转对应的地址。
Hex View窗口
显示16进制,默认为只读状态,可以用快捷键F2对数据区域(绿色字符区域)在只读和编辑两种状态切换。
Strings窗口
IDA的View有几个按钮对定位代码很重要,如下图所示:
Open exports window 打开导出窗口
Open import window 打开导入窗口
Open names window 函数和参数的命名列表
Open functions window 程序调用的所有函数窗口
Open strings window 打开字符串显示窗口
这里作者点击Strings显示程序中所有字符串,该窗口有助于你通过程序的运行输出逆向找出对应的代码片断,如下图的字符串及对应的Address。
双击String跳转IAD View页面,如下图所示的地址,单击会高亮。
其他窗口:
导出/入窗口:导出窗口列出文件的入口点,导入窗口列出由被分析的二进制文件导入的所有函数
函数窗口:函数名称,区域,起始位置,长度,描述函数的标记
结构体窗口:分析数据结构,双击数据结构名称展开,查看详细布局
枚举窗口:enums可列举,定义枚举类型
段窗口 segmentation:段的简单列表
文件类型
IDA会创建一个数据库,名为IDB文件,它由四个文件组成。
id0:二叉树形式的数据库
id1:程序字节标识
nam:Named窗口的索引信息
til:给定数据库的本地类型定义的相关信息
三.IDA Pro逆向工程实战
1.代码加密
前面第一篇 博客 讲解音乐文件通常采用异或加密,接下来作者通过C语言简单编写了一段加密代码,如下所示:
#include<stdio.h>#include<string.h>
int main(){ int i; int len; char key[20]; char res[20]; char *num = "eastmount"; //密钥 char *right = "123456789"; //正确值 //请输入正确的密码 printf("please input the key:"); scanf("%s", &key); //判断 len = strlen(key); if(len<6 || len>10) { printf("Error, The length of the key is 6~10\n"); } else { //加密 for(i=0; i<len; i++) { res[i] = (key[i]^num[i]); //异或加密 } //printf("%s\n", res); if(strcmp(res, right)==0) { printf("You are right, Success.\n"); } else { printf("Error, please input the right key.\n"); } } return 0;}输入长度不在6-10之间反馈错误“Error, The length of the key is 6~10”,输入错误反馈“Error, please input the right key.”,正确的key才显示正确信息“You are right, Success.”。
接下来我们通过IDA Pro工具解密这个EXE文件,尝试获取Key值。
2.逆向解密
第一步:按照第一部分步骤向IDA Pro中导入文件
显示的调用程序如下图所示。
树形图把条件分支清晰地显示出来了,左下角有IDA视图的缩略图。在上面点击可以快速定位到视图的指定位置,并且各个部分都有详细的代码信息 ,比如定义的两个变量及偏移位置。
第二步:查看字符串显示窗口
IDA Pro工具中菜单栏的View有几个按钮对定位代码很重要,如下图所示:
Open exports window 打开导出窗口
Open import window 打开导入窗口
Open names window 函数和参数的命名列表
Open functions window 程序调用的所有函数窗口
Open strings window 打开字符串显示窗口
这里作者点击Strings显示程序中所有字符串,该窗口有助于你通过程序的运行输出逆向找出对应的代码片断,如下图的字符串及对应的Address。
双击String跳转到如下图所示的地址,单击会高亮。
第三步:查看源代码
在如下图所示界面中按下F5键可以显示源代码。
显示的源代码如下所示:
int __cdecl main(int argc, const char **argv, const char **envp){ char Str1[32]; // [esp+38h] [ebp-50h] char Str[40]; // [esp+58h] [ebp-30h] int v6; // [esp+80h] [ebp-8h] int i; // [esp+84h] [ebp-4h]
__main(); printf("please input the key:"); scanf("%s", Str); v6 = strlen(Str); if ( v6 > 5 && v6 <= 10 ) { for ( i = 0; i < v6; ++i ) Str1[i] = gcc2_compiled_[i] ^ Str[i]; if ( !strcmp(Str1, "123456789") ) printf("You are right, Success.\n"); else printf("Error, please input the right key.\n"); } else { printf("Error, The length of the key is 6~10\n"); } return 0;}注意,该部分代码与之前写的C语言代码略有不同,比如之前判断长度 if(len<6 || len>10) 提示错误,而这里是 if ( v6 > 5 && v6 <= 10 ) 正确执行,else显示错误。
这段代码的基本逻辑是输入字符串Str,然后循环与gcc2compiled变量异或加密,输出为Str1变量,当加密后的Str1变量值为“123456789”则解密成功,否则失败。那么,gcc2compiled变量的值是多少呢?
第四步:定位核心代码
接着选中gcc2compiled变量,当它变高亮双击之后会跳转到对应的页面。
原来如此,它的密钥是“eastmount”,加密结果是“123456789”。
第五步:逆向解密
最后撰写解密代码,实现逆向解密,"eastmount" 异或输入代码Str,并且值等于123456789,则可以成功显示。
#include<stdio.h>#include<string.h>
int main(){ int i; int len; char res[9]; char *num = "eastmount"; //密钥 char *right = "123456789"; //正确值 //判断 TS@@XYBVM len = strlen(num); for(i=0; i<len; i++) { res[i] = (right[i]^num[i]); //异或加密 } res[i] = 0; printf("The right key is: %s\n", res); return 0;}解密结果如下图所示:
注意,IDA Pro本地 创建的文件如下图所示。
四.总结
写到这里,这篇基础性文章就叙述完毕,安全要学习的知识真的很多,涉及面很广,包括汇编、网络、操作系统、加密解密、C/C++、Python等。希望自己能慢慢进步,科研与实践并重,也希望读者喜欢这系列总结笔记。
三张薄纸,道不出无数思恋。武汉美,武大更美,但我知道此行的目的,是来求知,来充电的,吾家有女初成长,早日学成团聚才是我的归属。凌晨赶紧去写一篇博客,记录今天IDA Pro学习心得,女神节日快乐。
2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解,同时分享论文的算法实现。娜璋之家会更加系统,并重构作者的所有文章,从零讲解Python和安全,写了近十年文章,真心想把自己所学所感所做分享出来,还请各位多多指教,真诚邀请您的关注!谢谢。
(By:娜璋AI之家 2020-09-30 星期三 下午写于武汉)