摘要:
链接:http://skysider.com/?p=458IDAPro使用(静态分析+动态调试)1。静态分析IDAFLIRSignatureDatabase--用于识别静态编译的可执行文件IDAsignsrch中的库函数--查找二进制文件IDAscope使用的加密和压缩算法--自动识别windows函数以及压缩和加密算法Ponce--污点分析和符号执行工具雪人编译器--
链接:http://skysider.com/?p=458
IDA Pro使用(静态分析+动态调试)1.静态分析
IDA FLIRT Signature Database —— 用于识别静态编译的可执行文件中的库函数
IDA signsrch —— 寻找二进制文件所使用的加密、压缩算法
IDA scope —— 自动识别windows函数和压缩、加密算法
Ponce —— 污点分析和符号化执行工具
snowman decompiler —— C/C++反汇编插件(F3 进行反汇编)
keystone —— 二进制文件修改工具,可以直接修改汇编
CodeXplorer —— 自动类型重建以及对象浏览(C++)(jump to disasm)
IDA Ref —— 汇编指令注释(支持arm,x86,mips)
Hexlight —— 大括号高亮匹配及跳转(B跳转到匹配括号)
2.动态调试
IDA sploiter —— 漏洞利用开发工具,寻找gadget
DIE —— 动态调试增强工具,保存函数调用上下文信息
sk3wldbg —— IDA动态调试器,支持多平台
逆向分析常用方法:
利用ida scope脚本识别加密、编码算法,file->script file->IDAscope.py
利用signsrch插件识别加密、编码算法 edit->plugins->Signsrch