首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]ida函数识别问题
发表于: 2007-8-31 11:42 10356

[求助]ida函数识别问题

蓝色基因 活跃值
2007-8-31 11:42
10356
我在反汇编一个嵌入式系统下的软件,反汇编之后的代码中函数调用部分全部为call xxxxxxxx的格式,例如以下:
push        ebx
push        ecx
push        esi
push        edi
enter        0Ch, 0
mov        [ebp+var_C], eax
mov        [ebp+var_8], edx
mov        dword_1D1869, 0
mov        edx, [ebp+var_8]
mov        eax, [ebp+var_C]
call        sub_1C9247
call        sub_1C9120
xor        ebx, ebx
mov        edx, offset dword_1C9010
xor        eax, eax
call        sub_1C97B7
call        near ptr 71438h
mov        [ebp+var_4], 0
mov        eax, [ebp+var_4]
leave
pop        edi
pop        esi
pop        ecx
pop        ebx
retn
sub_1C90D5 endp

ida是无法识别里面的例如call        sub_1C9247的函数原型的。
目前情况下,我知道sub_1C9247函数的原型,例如ApInitialize( argc, argv );
怎么在反汇编的时候自动识别出来呢?
谢谢高手了

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
pilipili
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
把你的可执行文件(dll或exe)和相应的符号文件(PDB)放在同一目录下,再用IDA打开就可以了
2007-9-1 16:22
0
蓝色基因
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
嵌入式系统下的,没有pdb文件啊,怎么办?
2007-9-3 11:33
0
foxabu
雪    币: 325
活跃值: (97)
能力值: ( LV13,RANK:530 )
在线值:
发帖
回帖
粉丝
私信
4
嵌入式也流行x86指令集了?不是流行ARM吗?
2007-9-3 12:00
0
stupidass
雪    币: 356
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
嵌入式中x86指令集CPU已经越来越多了哈。
2007-9-3 14:15
0
蓝色基因
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
我再顶了,我看了一篇看雪的文章《库函数的快速鉴别和识别技术》,里面讲的是sig文件的原理。
我用Flair试图做一个sig出来,这个嵌入式系统下有很多lib文件,我找了其中的几个做了一下,可是没什么效果,生成的文件内容很少很少,不知道是我做错了还是不支持这个系统下的lib,另外还有很多h头文件,里面定义的函数也没办法在可执行程序中识别出来。
有没有好点的方法将他们的原型都提取并识别出来呢?
逆向真是太复杂了,尤其在嵌入式,还没有识别出函数库,谈逆向简直是白搭。
2007-9-4 10:48
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//