IDA初步视频教程:通过UPX简单的脱壳演示IDB数据操作
IDA初步教程:通过UPX简单的脱壳演示IDB数据操作
UPX简单的脱壳
IDA 的IDB数据库简单介绍,在论坛里第一集时,已经说过IDA Pro的分析操作其实是对分析数据库的操作,有老师已经发了一个IDA操作的IDA简易教程,主要是数据转换方面的,挺不错了,那么这个视频就避开这部分已有的内容,而是首先通过对UPX的简单解包的过程来描述IDB数据从内存动态状态下复制到IDB数据库的过程
首先我们将对记事本进行一个压缩,然后用它为样本来介绍今天的内容
很快压缩就完成了
为了让大家更有亲切感,我们首先在OD里进行一次解包的过程,在调试软件中不会用OD那真可惜,有太多的好资料好点子好方法都是在OD里实现的,并且有着超多的插件在供选择使用,对于工具来说,我们不拒绝任何的好工具,同时也要知道工具的适用范围
正因为OD的强大,所以它的改版也特别的多,如现在你看到的这个版本,集成了许多的插件和适用工具
乘着漫长的加载时间可以打量下这DRX的布局,除常见的OD布局外还多了一排工具按钮
终于见到了,一如以往,被压缩的被加密的都会提示的对话框出来了,选择否吧
停在这里,接下来是要找到OEP,脱壳或解压的基本功就是找到OEP,方法很多,这里只用最快的方法,脱壳或解压不是本视频的主要目的
用指令查找POPAD,或下拉一点就可以看到一个大的向上转跳,这个地方就是UPX解码后的OEP
明显这是向上的大转跳,对箭头处设断点或是光条焦点它
这里我采用了光条焦点然后F4执行到此处的方法
执行后,我们换F7单步到入口处
此时解码已经完成我们可以将内存影像DUMP出来,方法有许多如LoadPE等等,这里我们用了OllyDUMP插件来完成
在脱壳中不得不提的两个工具LoadPE和ImpREC,待会儿会用上
啥问题,点击ImpREC没有直接执行起来,只好到目录下去运行,估计要事先先运行?
用ImpREC修复的原因待会儿在IDA里可以看见,现在我们找到记事本的进程,并做好IAT的修复
填入实际的OEP地址,然后AutoSearch
然后我们还需要Get Imports,否则无法正确的写入,这里对一些错误的导入数据还要有一个整理的过程,由于我们这个UPX很简单,所以这些整理的步骤就不用了,只要载入然后修复导入区就可以了
接下来我们将演示在IDA Pro中去做对比和在IDA Pro中手脱的过程
载入后,我们发现导航带图形几乎是灰白色的,表明IDA Pro没有进一步自动分析这个程序的能力
================================
第四集:IDA 初步视频教程 继续解包,混淆代码的静态分析方法
{原文链接:http://www.guhai.com.cn/html/GJ/soft-tech/13759.html}
第二集:IDA(Ida_install)初步配置视频教程
{原文链接:http://www.guhai.com.cn/html/ZGSJ/shipin-tech/13533.html}
第一集:IDA(Ida_install)初步视频教程
