当前位置：首页 > news >正文

ida的使用

news 来源：原创 2025/5/13 18:20:48

一.ida的基本设置

在IDA的安装根目录下有许多文件夹，各个文件夹存储不同的内容

1.目录结构

cfg：包含各种配置文件，基本IDA配置文件ida.cfg,GUI配置文件idagui.cfg，文本模式用户界面配置文件idatui.cfg,
idc：包含IDA内置脚本语言IDC所需要的核心文件
ids：包含一些符号文件
loaders：包含用于识别和解析PE或者ELF
plugins：附加的插件模块
procs：包含处理器模块

2.启动

启动ida后会出现这样一个对话框

New：启动一个标准的File Open对话框，让你选择，根据选择的文件，ida将显示外一个或多个对话框，再选择特定的文件分析选项。然后加载，分析并显示。

Go:打开一个空白工作区，这时只需把二进制文件直接拖入到IDA工作区，可以将二进制文件直接拖入，或使用file菜单中的选项。IDA会利用已知扩展名的过滤器限制file对话框显示。请确保修改或清除该过滤器【如选择all files】，以便file对话框正确显示你想要打开的文件【在非windows系统中，可执行文件可能没有扩展名】。以这种方式打开文件时，IDA会尝试自动识别选定文件类型，需要注意loading对话框，看ida用哪个加载器处理。

Previous:打开最近用过的文件中一个文件，“最近用过的文件”列表中包含IDA的windows注册表项的history子项中的值。默认长度为10，可以编辑idagui.cfg或idatui.cfg修改其值。

3.文件加载

拖入文件后，会弹出一个加载对话框，如果未识别文件，则默认为Binary File为唯一选项，这时就需要你手动选择反汇编处理器了

文件类型列表，列表中将显示最适合处理选定文件的 IDA 加载器

IDA 通过执行 loaders 目录中的每一个文件加载器，来确定能够识别新文件的加载器，从而建立了这个列表

上图中 Windows PE 加载器（pe.ldw）和 MS-DOS EXE 加载器（dos.ldw）均声称它们能够识别选定的文件，因为 PE 文件格式是 MS-DOS EXE 文件格式的扩展形式

Binary File（二进制文件）是这个列表中的最后一个选项，它会一直显示，因为它是 IDA 加载无法识别的文件的默认选项，它提供了最低级的文件加载方法

如果只有 Binary File，这表明没有加载器能够识别选定的文件

Processor Type（处理器类型）下拉菜单中可以指定在反汇编过程中使用的处理器模块（在 IDA 的 procs 目录中）

多数情况下，IDA 将根据它从可执行文件的头中读取到的信息，选择合适的处理器

如果 IDA 无法正确确定与所打开的文件关联的处理器类型，在继续文件加载操作前，需要手动选择一种处理器类型

Loading Segment（加载段），Loading Offset（加载偏移量），如果同时选择了二进制文件输入格式和一种 x86 系列处理器，Loading Segment 和 Loading Offset 字段将处于活动状态

由于二进制加载器无法提取任何内存布局信息，在这里输入的段和偏移量值将共同构成所加载文件内容的基址

在最初的加载过程中，如果忘记指定基址，可以在任何时候使用 Edit -> Segments -> Rebase Program 命令来修改 IDA 镜像的基址

Kernel Options（核心选项）用于配置特定的反汇编分析选项，IDA 可利用这些选项改进递归下降过程

绝大多数情况下，默认选项提供的都是最佳的反汇编选项

Processor Options（处理器选项）用来选择适用于选中的处理器模块的配置选项，但它不一定对每个处理器模块有效

其他选项复选框可帮助用户更好地控制文件加载过程

二、界面介绍

1.选项卡顶部 IDA 用不同的颜色区分可执行程序组成部分。下方对不同颜色
代表的部分进行说明。例如，灰色代表.data sectio【数据】，如果点击颜色
条灰色部分，下方的图形视图也会跳转到该部分中点击地址的位置。粉色部分是
External Symbol【外部符号】或者 idata section。蓝色部分表示 code section【代码】中识别出的函数。

2.在 IDA 界面底部有一个交互栏可以执行 Python 命令，能够帮助我们快速进行进制转换以及命令

总的来说就是大窗口是文本结构界面，可以看到明显的条件判断，红色为条件为false，绿色条件为true。蓝色为无条件跳转

按下space(空格键)，会进入文本结构的界面，也就是上面图片的反汇编主窗口所显示的，当打开ida是流程图(ctrl+滑动滚轮=变大|变小)时，可以使用空格显示文本结构

三.ida快捷键记录

常用快捷键

IDA中的快捷键都是和菜单栏的各个功能选项一一对应的，基本上你只要能在菜单栏上找到某个功能，也就能看到相应的快捷键，这里记录几个常用的：

a：将数据转换为字符串
f5：一键反汇编
esc：回退键，能够倒回上一部操作的视图（只有在反汇编窗口才是这个作用，如果是在其他窗口按下esc，会关闭该窗口）
shift+f12：可以打开string窗口，一键找出所有的字符串，右击setup，还能对窗口的属性进行设置
ctrl+w：保存ida数据库
ctrl+s：选择某个数据段，直接进行跳转 ctrl+鼠标滚轮：能够调节流程视图的大小
x：对着某个函数、变量按该快捷键，可以查看它的交叉引用
g：直接跳转到某个地址
n：更改变量的名称
y：更改变量的类型
/：在反编译后伪代码的界面中写下注释
\：在反编译后伪代码的界面中隐藏/显示变量和函数的类型描述，有时候变量特别多的时候隐藏掉类型描述看起来会轻松很多
；：在反汇编后的界面中写下注释
ctrl+shift+w：拍摄IDA快照
u：undefine，取消定义函数、代码、数据的定义

Navigate

Ctrl+L: 所有名字的选择器
G: 跳转到某个地址，或者输入label也可以
X: 查看谁调用了当前选中的函数、变量
书签
Alt+M: 添加书签
Ctrl+M: 查看书签
Alt+T：搜索内容
Ctrl+T：继续查找下一个
空格：切换视图（文本视图，图形视图）
Tab，F5：反编译
自动注释：option->general->auto comments

注释，变量名

冒号：单行注释

insert：行前注释

N：增加、修改变量名

数据转换

Edit->operand type

Q: 十六进制

H：十进制

R: 字符

A：普通字符串

Alt+D: 选择Q word或者TByte

Alt+A：字符串（C或者pascal格式）

选中，按C，标记为code

选中，按U，取消

偏移（Offset）

O，Ctrl+O：改为偏移label

Ctrl+R：相对偏移

M：改为符号常量

新建结构体

shift+f1，按insert，新建C语言结构体，双击后修改各个element的数据格式（sync, yes）

H：十进制

Q：十六进制

A：字符串

T：把偏移改为结构体

Alt+Q：修改数据类型为结构体类型

数组

星号，新建数组

Alt+L，批量选择（选择后，再按星号，改为数组）

函数

Y：修改函数header

四、操作简介

函数操作

删除函数：函数窗口中选中函数后，按 Delete 键
定义函数：在反汇编窗口选中对应行后，按P键
修改函数参数：在函数窗口中选中并按 Ctrl+E 组合键，或在反汇编窗口的函数内部按 Alt+P 组合键

数据类型操作

U 键：取消一个地方已有的数据
D 键：让某一个位置变成数据
C 键：让某一个位置变成指令
A 键：会以该位置为起点定义一个以“\0”结尾的字符串类型
* 键：此处定义为一个数组
O 键：将此处定义为一个地址偏移

导航操作

后退到上一位置：Esc
前进到下一位置：Ctrl+Enter
跳转到某一个特定位置：G，然后可以输入地址/已经定义的名称
跳转到某一区段：Ctrl+S,然后选择区段即可

简要概括

ida.exe用于分析32位的可执行文件

ida64.exe用于分析64位的可执行文件

如何判断文件位数

1.kali linux系统终端的file命令或者检查是否有保护机制时的checksec命令

2.或者最直接的方法用ida.exe打开64位的程序会报错（但是ida.64可以正常打开32位的程序，但是反编译得不到伪代码）

窗口介绍

1.函数列表窗口：列举所有已经被IDA识别的函数

2.IDA-View窗口：汇编代码窗口，空格键切换图形模式和文本模式，Tab和F5键切换到伪代码窗口

3.Pseudocode窗口：伪代码窗口，在伪代码位置按下Tab键可以切换到对应的汇编窗口

4.字符串窗口：列举程序代码所有引用到的字符串常量

a.shift + F12打开字符串窗口

b.Ctrl + F 可以弹出底部搜索小窗口（大部分窗口均可实现该功能）

5.其他窗口：HEX View,Exports，Imports ,Structures

6.菜单项View菜单可以找到IDA绝大部分窗口的入口

五、做题中ida的作用

这里以BUUCTF上的rip为例，说一下怎么通过ida看程序，并且找到我们需要的东西

下载附件后先将程序拖到Ubuntu中查看位次，这里我用的是checksec，还可以检查是否有保护机制

同样可以使用file查看，只是这种方式不能看保护机制，对于pwn题来说还是checksec方便一些，一举两得

知道后用对应的ida打开，这里是64位，也就是说用ida x64.exe打开

然后找到main函数，main函数在程序中很重要，F5反汇编后可以看到C语言代码，会发现这里出现了之前提到过的栈溢出危险函数gets

补充：

在可执行文件的所有符号中，main函数是一个很特别的函数，对C/C++程序开发人员来说，main函数是整个程序的起点；但是，main函数却不是程序启动后真正首先执行的代码。

接着可以在main函数下的fun函数中看到后门system("/bin/sh")，那么这里我们就可以猜测应该是利用gets函数获取一个长字符串覆盖rip来控制程序流到fun()函数，然后利用后门shell得到flag

函数的局部变量会存放在他的栈中，那么在main函数中，我们双击s变量，查看s分配了多少空间，可以看到用了15个字节的储存空间，前面说过rbp在64位程序中是8个字节

那么还需要8个字节的数据把rbp的数据填满，这样就可以溢出进入Return Address了

Address（返回地址），也就是说是fun函数的地址，直接查看fun函数地址可以看到是0x401186

from pwn import *# 假设你的二进制文件名为 pwn1，并且它位于当前工作目录中
binary_path = './pwn1'# 使用 process 函数启动本地二进制文件
p = process(binary_path)# 定义你的 payload
# 这里假设溢出发生在栈上，且返回地址的偏移量为 16+8=24 字节
payload = b'a' * 15 + b'a' * 8
payload += p64(0x401186)  # 假设这是你想要利用的地址# 发送 payload 到二进制文件
p.send(payload)# 进入交互模式，允许你手动输入和观察输出
p.interactive()

这就是本题的exp，现在用的是本地调试，一般本地成功了才会远程连接

我简单总结了一下，这种栈溢出的有后门的入门题目思路，但是肯定不全，每道题目肯定会有它的不一样之处：

1.完整后门&溢出长度大于等于ip

在有完整可用后门的情况下，只要溢出长度能够覆盖ip即可

2.残缺后门&溢出长度远大于ip

这里指的远大于ip，意思是可以溢出覆盖除了ip以外的3个以上的（一般情况，实际情况实际分析）机器字长（32位4 bit；64位8bit）。残缺后门的形式多种多样：提供诸如system等关键函数；flag、/bin/sh等字符串；某些gadget等

提供关键函数&字符串

一般给出的是system函数，在ida中一般呈现形式是这样的，这样就能通过system.plt调用system函数。

字符串/bin/sh可以在ida中字符串界面可以查询到（shift+f12），存放在bss区，在源码中通过定义变量来提供。通过地址来调用这个字符串参数。

int getshell()
{
return system("echo no no no!!!");
}

对比完整后门发现这里是将函数和参数分割，但是两者都在程序中，所以可以通过栈溢出自行构造完整后门，这里就涉及传参方式方面知识：32位栈传参；64位前6个参数寄存器传参，后续更多参数遵循栈传参。

自行构造完整后门（调用链）对溢出长度有要求了，至少要能溢出除ip以外再多2个机器字长，用于写入调用步骤。

自行构造完整后门（调用链）对溢出长度有要求了，至少要能溢出除ip以外再多2个机器字长，用于写入调用步骤

32位

payload=[填充]+[system@plt]+[4bit填充]+[参数]

64位

64位系统寄存器传参需要用到gadget，可以使用ROPgadget查找程序乃至libc库（需要泄露基地址）。一般来说前两个参数rdi rsi的gadget比较常见容易得到的。

payload=[填充]+[pop_rdi_ret]+[参数]+[system@plt]

提供关键函数

关键函数不单单指的system、puts、read、write等用于写入读取的辅助函数一定程度上也算是关键函数，但是为了方便总结这里的关键函数指的是system这类函数

system函数在ida中呈现方式同上小结。与上面小结相比缺少的是字符串/bin/sh，对比完整后门来说就只剩下system

这里结合上面小结对比缺少一个/bin/sh，那就先构造一个输入的利用链将字符串输入到内存，然后再和上面一样构造system利用链，这里就涉及ROP利用思想。system利用链不再重复，与上面小结一致。输入利用链构根据题目出现输入函数不同而实际分析，一般用的都是read，也有scanf、gets

根据溢出长度不同还能细分为两种情况：一次性利用链；ROP利用链。

一次性利用链

这种情况适用于溢出长度比较大，一般能有7个机器字长左右，具体情况具体分析。这种利用的思想是用输入函数read将/bin/sh写入到bss段后调用system('/bin/sh')

32位

payload=[填充]+[read@plt]+[system@plt]+[参数1]+[binsh写入地址]+[参数3]+[binsh写入地址]

64位很少用，因为寄存器传参需要用到gadget，这样会导致需要非常大的溢出空间，构造起来和32位一样，这里就不写了

ROP利用链

和一次性利用链思想上最大区别就是运行完自构写入函数后，返回main（或其他）函数，相当于让程序重新运行一次，有第二次利用漏洞机会，写入getshell利用链。

相比之下优势：payload长度变短，有效应对溢出长度不足情况。

32位

payload1=[填充]+[read@plt]+[main]+[参数1]+[binsh写入地址]+[参数3]
payload2=[填充]+[system@plt]+[4bit填充]+[binsh写入地址]

64位

pop_rdi都会有单独的gadget，rsi多数以pop_rsi_r15形式出现，rdx少有gadget，这里写的是gadget情况如下，做题时不一样的情况还需要调整

pop_rdi_ret
pop_rsi_r15_ret
pop_rdx_ret

payload1=[填充]+[pop_rdi]+[参数1]+[pop_rdi_r15]+[binsh写入地址]+[8bit填充]+[pop_rdx]+[参数3]+[read@plt]
payload2=[填充]+[pop_rdi]+[binsh写入地址]+[system@plt]

可以看到payload1还是长的，而且rdx gadget不一定有。这时可以尝试不传第三个参数，用寄存器rdx的原值，这个值有可能符合需要（若需要控制前三个参数了解一下ret2csu），payload简化如下

payload1=[填充]+[pop_rdi]+[参数1]+[pop_rdi_r15]+[binsh写入地址]+[8bit填充]+[read@plt]
payload2=[填充]+[pop_rdi]+[binsh写入地址]+[system@plt]