1. ida是最好用的逆向分析工具
2.问题
如果你在使用IDA分析时遇到大量的结构体指针偏移形式的变量,肯定想根据自己的分析重命名结构体各项。
3.定义结构体
这是需要先找到结构体初始化的地方
这里记录了每一项的偏移量,记录了结构体总大小Ox110uLL。
我们要根据这个结构体初始化函数来定义该结构体
在IDA中打开Structures,快捷键是shifr+ F9 ,然后按insert键,进行插入。
在ends 后按d键,添加相应的成员,然后选中成员名,按N进行修改,选中类型,按d 进行更改类型
00000000 DES_sturct struc ; (sizeof=0x110, mappedto_96)
00000000 android_refbase0 DCD ?
00000004 field_4 DCB ?
00000005 DCB ? ; undefined
00000006 DCB ? ; undefined
00000007 DCB ? ; undefined
00000008 item8 DCQ ?
00000010 item16 DCQ ?
00000018 item24 DCQ ?
00000020 item32 DCD ?
.......
000000E4 field_E4 DCQ ?
000000EC uuid DCQ ?
000000F4 item244 DCQ ?
000000FC cipher DCQ ?
00000104 nextitemofcipher DCQ ?
0000010C field_10C DCD ?
00000110 DES_sturct ends 注意:
1.在定义结构体过程中要检查偏移量。比如 cipher是
*(_QWORD *)(v2 + 252) = 0LL;
2.那么自己定义的结构体,它的位置就应该在 000000FC(16进制的252)。
定义结束后要检查总大小“ sizeof=0x110”。
4. 使自己定义的结构体和代码变量关联生效
在代码窗口找到相应的变量,右键选择Convert to struct ,然后选择刚刚你定义的结构体
此时,结构体初始化的地方显示为:
v2 = (DES_sturct *)struct_qword_331A0;
if ( !struct_qword_331A0 )
{
v2 = (DES_sturct *)operator new(0x110uLL);
android::RefBase::RefBase((android::RefBase *)v2);
v2->item48 = 1;
v2->item74 = 48;
v2->item214 = 2;
v2->item215 = 2;
v2->item16 = 0LL;
v2->nextitemofcipher = 0LL;
......
v2->cipher = 0LL;
......
android::RefBase::incStrong((android::RefBase *)v2, &struct_qword_331A0);
if ( struct_qword_331A0 )
android::RefBase::decStrong((android::RefBase *)struct_qword_331A0, &struct_qword_331A0);
struct_qword_331A0 = (__int64)v2;
}使用结构体变量的地方显示:
由
v23 = a1 + 252;改变为
v23 = &a1->cipher;我们的目的就这样达到了。
版权声明:本文为qq_33163046原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。