IDA反汇编学习心得.docVIP

用IDA反汇编动态库 最近，一直在学习如何利用IDA来反汇编动态库，这里把我的学习心得写下来。为简单起见，这里就自己所写的一个动态库里的一个简单函数进行一下反汇编，给出如何写出其C代码的详细过程，希望对新手有点帮助。废话少说，先给出其动态连接库的C代码如下 _declspec(dllexport) int add(char a, int b, int c[2]) { int d = a + b + c[0] + c[1]; return d; } 至于为什么要设置这样的参数，待会在反汇编时进行说明。下面给出其详细的反汇编过程,并补充相关的经验总结。 第一步、装载动态库文件” first .dll”,装载之后得到下面的截图： 通过在Functions一栏中双击add函数，我们来到add()函数的地方（同上图），我们看到”textadd proc near ; CODE XREF: add(char,int,int * const)j”这样一栏显示了add函数的参数，虽然有点出入，但大体正确。可能是因为add函数本身比较简单，所以IDA很容易就识别出了其参数，一般地，IDA是识别不出来的，网上有一个插件为”Flair.v5.20”据说可以部分地解决函数的参数识别问题，但这个软件我没有下载到，就不说这个了 。 第二步、我们看到”.text这些栏有很多标示，在下面的汇编语句中会用到。我们看接下来的三行代码 ： .text push ebp .text mov ebp, esp .text sub esp, 44h 这三行代码模式基本上是固定的，（至少我遇到的都是这样）首先是保存ebp, 然后用ebp来保存esp的原始指向，再将esp的指向向上移动44h个字节，（当然这里44h不是固定的）为什么会有这样固定的代码呢？就代码 “sub esp 44h”而言，在原esp的基础上向上移动44h的字节空间，而 esp ----- esp-44h这个44h的空间是为了存放一般变量的。其他两行相信读者很容易理解其理由。 第三步、看下面三行代码. .text push ebx .text push esi .text push edi 当我们在函数的开头看到这样的代码时,而后面又没有紧跟着”call + function”时，我们大可不用理解，因为这些push语句目的都是为了不破坏原始ebx,esi,edi的值而将他们保存起来，并且这里我们可以看到，是保存在esp-44h之上的。也就是说，如果我们看到函数的开头出现将寄存器push进esp-x之上的空间（我们将”esp-x 至 esp”的堆栈空间成为“一般变量栈空间”），这里就是指push进esp-44h之上的堆栈空间，我们不用去关心，在函数末尾肯定会有相应的代码将他们还原的。（待会我们会看到） 第四步、继续向下看，进入关键代码段。在做进一步解释之前我先画一幅堆栈图。如下 ： 好了，有了上一幅图，说明起来会容易些。看接下来的四条代码 ： .text lea edi, [ebp+var_44] .text:1000101C mov ecx, 11h .text mov eax, 0CCCCCCCCh .text rep stosd 这四条代码和上面的三条代码一样，其模式一般是固定不变的。其作用就是实现了“一般变量栈空间”的初始化。这里将图中所示的“一般变量栈空间“初始化为0xCCCCCCCC.其具体的代码解释如下 ： lea edi, [ebp+var_44] : edi = ebp + vat_44 mov ecx, 11h ： ecx = 0x11h mov eax, 0CCCCCCCCh : eax = 0xCCCCCCCC; rep stosd : for(int i1=0; i1ecx; i1++)edi[i1]