目录
需求
流程
1.内存搜索
2.定位内存位置
3.搜索引用内存地址的代码
4.给该位置下断点
5.内存代码和exe静态程序地址的映射
6.使用静态反编译出C++代码
小技巧:静态编译工具定位到起始位置
总结
需求
C++编译出来的hello world函数,如果没有源码,如何定位还原到exe当中的汇编代码位置?软件逆向动静态结合如何操作?
流程
1.内存搜索
输入你所看到的字符串:
2.定位内存位置
3.搜索引用内存地址的代码
4.给该位置下断点
5.内存代码和exe静态程序地址的映射
IDA(Ghidra)导出的EXE程序地址是0x401000,而使用OD(X32dbg)动态调试看到的地址是0xEA1000,目前看到的helloword程序,是原样搬过去一一对应的。那么看到内存地址把EA改为40,就是静态程序地址了。
磁盘地址和内存镜像的对应关系
6.使用静态反编译出C++代码
在IDA(Ghidra)中,可以对汇编代码进行反编译,它们的功能还是很强大的。
小技巧:静态编译工具定位到起始位置
在IDA中,通过view-->open subviews--->Segments,可以看到真实程序起始点:
但是程序起始端,并不一定是main,要看一下点跳转。另外一种方法是,在function windows里,启动Quick filter来查找特定函数:
弹出搜索框,输入main(或你想找的函数):
Ghidra的界面这些入口位置就直接在主界面有,按照下面的两个方法都可以找到程序起始点:
文章来源:https://www.toymoban.com/news/detail-444525.html
总结
通过正向编译,知道要找的东西,在逆向过程中,就可以有的放矢的去观察,了解工具的使用方法和编译原理,数据的追踪线路,再去查找无源码的程序,就有思路了。文章来源地址https://www.toymoban.com/news/detail-444525.html
到了这里,关于OD+IDA动静结合反编译C++的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![[架构之路-212]- 需求- UML需求建模:用例图、ER图/概念类图、流程图、序列图、状态机图](https://imgs.yssmx.com/Uploads/2024/02/488999-1.jpeg)
