我们在用IDA静态调试app时,会遇到IDA无法识别的函数,具体该怎么处理,笔者就用自己遇到的案例简单分析下;(笔者逆向小白,如描述不对,请大佬指正)。破解app发现加密在native,于是就用IDA尝试静态调试,找到加密的so文件,再找到对应的加密函数,发现函数头部都是显示红色,并且无法F5然后笔者不会了,这没法F5,就没法再往下调试了,查找资料后,明白是IDA将thumb指令,当作了ARM指令来处理,或者反过来;错误指令处理,无法识别,就变成红色了;就需要手动修复,让IDA能识别1,鼠标放在加密函数的后面,然后指令 option + g(笔者是mac,windows电脑是alt+g),在弹出的页面里将0改为1;2,查看函数,如果还含有code32或者code6,继续上一步操作,直到没有code,3,修复后,头部还是红色,直接指令 p;这就修复了。然后再F5;就解决了无法识别函数的问题了。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课