IDA,静态分析工具,网上随便找一个即可下载.或者在看雪工具区下载: IDA 工具

首先,我们写一个可执行EXE,最简单的

使用IDA打开.

1.提示使用什么格式打开

因为是PE格式,所以我们选择PE即可.点击OK

2.重新打开一下

如果以前已经打开过这个PE,那么重新打开,则会显示这三个按钮,

1.overwrite 重新写入,代表覆盖以前的.(联系中常用这个,工作中不常用)

2.load existing 加载已经存在,这个很常用,因为有的时候汇编的注释很多,或者样本分析不会是一天完成,那么加载这个已经存在的即可.

3.取消.

3.打开后显示的视图

这个视图是罗列出函数的逻辑.

我们不看这个,主要是看汇编代码.

1.切换到汇编代码

右键,点击Text View

2.查看汇编代码.

这里有代码提醒功能,那么我们要学会怎么做,IDA是读取.sig文件,然后显示出来的.

那么我们要学会怎么做.

制作.sig文件,我们依赖于一个VC自带的工具,还有特征提取工具.

1.VC 自带的lib.exe

2.特征提取工具pcf.exe

都会打包.

第一个,我们首先手动制作一个.sig文件.

先熟悉一下特征是什么

首先上图看到,我们已经显示出来了system这个库函数了,那么是怎么显示的? IDA读取sig文件,但是读取sig文件也要有特征匹配才会显示.

首先我们双击system,进去查看它的汇编,以及二进制代码.

默认是没有机器码的,所以我们要显示出来机器码.

Options(选项) - > General(一般)

然后出来下图

只需要在画红色方框的地方,写入大小,则会显示机器代码多少

特征就是固定的二进制代码, 注意,是固定的二进制代码,打死都不会变的.

比如上面的push ebp的机器代码,是55

但是注意,偏移不是,比如最后的一个红框后面的偏移,因为这个受很多因素干扰.

注意,因为printf是属于libc.lib中,所以直接把libc.lib的obj提取出来

这里我的环境变量已经配置好了,可以直接使用CMD命令行了,注意,如果你没有配置,请网上搜索配置的方法.

vc的lib.exe目录所在文件.

vc98 -> bin ->lib.exe, 这里给的是一部分,因为我不知道你的vc在哪里装着,所以这个是不会变的.

而libc.lib所在的文件路径,也是在vc98下面,只不过不是bin了,变成了lib了

首先lib工具的使用命令

lib /list xxx.lib

命令:

lib /extract: xxxxx.obj  lib文件名

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课