源码阅读SourceInsight与静态反汇编IDA Pro

1.源码阅读SI

1.1调用关系图（正向和方向关系调用）

Sourceinsight可以方便的查看函数调用关系，点击图标

打开如下：

点击函数的末尾可以展开下一级调用关系，如上图鼠标弹出”加号“的位置。调用关系图，右键可以设置查询的关系：

for types：查看变量类型关系设置

for functions：查看函数调用关系或索引关系

for variables，constants：查看变量值

for classes：查看类调用关系或继承关系

for files：查看文件调用关系

1.2 快捷键

Ctrl+O：打开工程文件窗口

Ctrl+？：搜索内容窗口

Shit+F8：高量标记变量或函数

Shit+F9：搜索结果中，往前遍历查询结果的文件索引

Alt+L：只有焦点处于代码文本窗口中时，可以是焦点快捷地调到左边的名称空间窗口

2.静态反汇编IDA

2.1反汇编算法

a.线性扫描反汇编：无法将嵌入的数据和代码区分开

b.递归下降反汇编：无法处理间接代码路径（如利用指针表来查询目标地址的跳转和调用）

2.2 常用操作与快捷方式(IDA6.5.1版本)

名称：sub_xxxx：地址xx子例程 loc_xxxx：地址xx指令 byte_xxxx：位置xx8位数据 unk_xxxx：位置xx大小未知数据

节：idata：函数导入段 edata：函数导出段 data：数据段 rdata：资源段

1.Num ”-“或”+“ 图形视图和代码视图切换(6.5版本，5.5版本使用space空格切换)

2.Ctrl+s 段跳转 Ctrl+P 函数跳转 Ctrl+E 跳转到函数入口点

3.Shift+F3 函数名窗口 Shift+F4 所有名称空间窗口 Ctrl+X交叉引用（函数和数据交叉引用，交叉引用：引用其他位置的显示，Data Xref注释处）

4.代码调用关系，菜单栏结构图

5.text view和graph view（单个函数的流程图） 代码跳转关系

6.ESC 回退查看 Ctrl+Enter 前进查看

7.F5插件 可以翻译汇编代码成pseudocode（伪代码）C语言版 -----使用IDA5.5版本较稳定

8.IDA加载过程出现oops错误，需要安装python 2.6版本

9.text view 模式，粗虚线：循环，细虚线：条件跳转，实线：非条件跳转，红线：同一函数内

10.Alt+T 搜索字符串

11.菜单view->open subviews->cross renferences和function call视图 （alt+num切换tab） function call和反汇编窗口组合查看阅读代码

12. Alt+M标记---->Ctrl+M跳转到标记处

13.IDA 不能确定函数分散到各个段里的函数边界，所以有sub_XX和.text的跳转

函数通过function call联系

.text这种分散的函数片段可以通过cross renferences确定

14.F1 IDA帮助文档查看INC脚本内部提供的系统函数编写脚本

2.3 exe文件修改

1.修改原则：

单条指令替换

retn返回的 call指令 ------->>替换 nop（0x90）

retn XX返回的 call指令 ---------->>替换 add esp XX

替换所有指令保持栈平衡

push、retn和retn XX call指令 ------------->>替换 nop(0x90)

汇编函数返回值：ret 前赋值给 EAX，数据过大高位存在EDX，再大指针

2.修改方法：

直接修改机械码，可能导致两条nop语句之间的汇编代码对应的机械码发生变化，使用如下操作修改

IDA->Options->General->设置opcode byte机器码显示

IDA配置文件cfg目录下的idagui.cfg，修改DISPLAY_PATCH_SUBMENU=YES，重启ida可以看到Edit->Patch Program->assembly

使用IDA查找到代码对应的16进制码，在UtrlEdit下查找后，使用以下原则进行全指令替换

2.4 堆栈平衡

call调用前，需要压栈参数，出栈需要弹出堆栈内所有数据，retn xx 或 ret后调用处add esp xx平衡，类似prinf函数参数数量不可确定，需要出栈时调整esp

（rop攻击：面向返回值的错误跳转攻击）

2.5 反汇编技巧

1.阅读反汇编时，数据最好从初始化源头追踪，如窗口句柄需要查看createwindow函数，否则很难以阅读

2.lea offset 函数，push入函数代表回调函数；如果在定义在数组里，数组首地址调用处，可能是事件循环

3.反编译工具未能识别的函数，以.text块跳转 （可以载入pdb文件导入本模块的符号表，需要设置pdb.cfg）

4.for、while循环：jmp无条件回跳的代码

if条件判断：cmp等标志寄存器控制 和 跳转命令

结构体：dword ptr 表明[]字寻址、双字寻址或字节寻址，其中Dword Ptr可能是4字节指针

switch：连续多处调转

2.6入口函数OEP

几种语言的入口函数特征：

              C++的入口函数GetVersion
              汇编的入口API函数   GetModuleHandleA
              DELPHI入口特征 GetModuleHandleA
              易语言入口API函数 GetVersion
              VC8入口特征查找 GetStartupInfoW
              VB入口特征查找函数 ThunRTMain

2.7反汇编基础（16位AX、32位EAX、64位RAX）

AX 累加寄存器 （除法和函数返回值中隐含使用，数据过大DX辅助） CX 记数寄存器 （循环中隐含使用）

SI、DI 基址变址寄存器 SP、BP、IP 指针寄存器

C++入口函数在link配置里面可修改

关注call和jmp、lea（move offset），结构体和类反汇编相同

参考：

1.《IDA Pro权威指南 （第2版）》

2. http://blog.csdn.net/chenyujing1234/article/details/7766639

3.http://www.doc88.com/p-774671348081.html 博客实例

4.http://www.pediy.com/kssd/pediy12/142766.html 读书笔记

5.http://bbs.pediy.com/showthread.php?t=160887 连连看新人外挂入门

6.http://ajiannet.cnblogs.com/游戏外挂

7.http://www.eefocus.com/book/09-05/740251276059759.html汇编指令入门

8.http://blog.csdn.net/chinabinlang/article/details/19476941

9.http://www.cnblogs.com/jack204/archive/2011/12/02/2271884.html（反汇编技巧）