一、ida动态调试
1、介绍
众所周知,ida是一款非常优秀的反编译软件,在静态逆向中是属于屠龙宝刀一般的存在,他不仅仅有着优秀的静态分析能力,同时还有着极其优秀的动态调试能力,甚至可以直接对生成的伪代码进行调试,这一点远超其他只能在汇编层进行调试的动态调试器,极大的增加了动态调试程序的可读性,能够节省很多精力。甚至可以以远程调试的方式,将程序部署在linux或安卓端上,实现elf文件和so文件等的动态调试。
2、本地调试(Windows)
首先从本地动态调试开始
加载目标文件
万年第一步,使用ida打开目标文件,然后点击菜单项中的“Debugger”
选择select debugger
本地调试Windows文件,所以这里选择local Windows debugger。
点击ok之后,再看debugger菜单发现此时菜单以新的形式展开
此时再点击带有绿色三角符号的“Start process”即可开始调试程序
ida还支持另一种调试方式,即将目标文件附加到一个正在运行的进程上,以调试某些无法独立运行的文件,如果想以这种方式进行调试,则在选好调试器后点击“Attach to process”后即可选择附加进程
调试器界面
经过一段时间的加载之后,进入了调试器界面
“IDA-view-eip”界面是反汇编窗口,在这里点击f5,可以进入伪代码调试
可以说是非常的好用
下面的“hex view”顾名思义,右边从上到下分别是级寄存器/标志寄存,加载到进程内存空间中的可执行文件和共享库,双击模块名称可打开该模块输出的符号表,再向下看就是栈窗口
调试命令
| ida快捷键 | 功能 |
|---|---|
| F7 | 单步步进 |
| F8 | 单步步过 |
| F9 | 继续运行程序 |
| F4 | 运行到光标所在行 |
| Ctrl + F7 | 直到该函数返回时才停止 |
| Ctrl + F2 | 终止一个正在运行的进程 |
| F2 | 设置断点 |
断点
ida的动态调试同样支持设置条件断点
设置好断点后,右键断点,点击第二行“Edit breakpoint”即可打开断点设置菜单
location栏是断点地址,condition栏则是条件断点的表达式
例:EAX == 12
指当EAX的值为12时中断,同时,因为condition栏由IDC表达式支持,所以可以使用一些IDC的函数。
比如:GetRegValue(“ZF”)
指当ZF的值不为0时中断
监视窗口
ida同样也支持对数据的监视,需要监视的数据一般在栈或者数据块中,进入栈或者数据,点击右键打开菜单,选择“Add watch”
即可在窗口“watch list”中显示,如果需要删除,则按“Delete”键
3、远程调试
ida支持远程调试Windows、linux、Android、Mac OS的二进制文件,将文件放在远程的对应系统服务器上,ida远程连接服务器,在服务器上运行、调试程序,并在本地客户端显示调试界面。界面视图上和本地调试并没有区别。
如果需要远程调试,首先需要将ida的服务端部署在远程服务器上,ida的服务端存储在ida目录中的dbgsrv文件中
将需要调试的文件和服务端版本放入服务器中,然后运行服务端,会默认在23946端口启动ida服务端程序,以linux为例
被调试程序是64位elf文件,所以在linux端运行linux_server64,然后回到客户端
客户端的第一步没什么变化,在菜单选择debugger栏,在选择debugger时,选择Remote Linux debugger
然后在菜单中先选择“Process option”进行设置
打开后页面如下
第一行application和input file选择被调试文件在服务端中的存储路径。下面第三行的directory是存储路径,直接选被调试文件所在目录就行。再下面第四行的是程序启动时传入的参数,可以为空。第五行则“Hostname”则填服务端的ip和端口号,我这里选的服务端是虚拟机。最后一行的password是linux_server启动时设置的密码,如果没有设置,则为空即可。全部设置正确之后就可以开始调试了
点击“start process”开始调试程序
可以看到在服务端程序已经成功启动
文章来源:https://www.toymoban.com/news/detail-455384.html
接下来的步骤和本地调试并没有什么区别不再赘述。其他安卓和Mac的文件远程调试也是大同小异,也不再多说了。文章来源地址https://www.toymoban.com/news/detail-455384.html
到了这里,关于ida使用技巧之动态调试的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
