Wine 应用调试的重器:IDA pro

在上一篇文章《介绍几款 Windows 应用调试的小工具》中介绍了在调试 Wine 应用中的一些小工具,但在面临复杂问题时,就需要特别的手段和工具。比如在分析闭源软件时,有的时候程序并没有崩溃或者明显的报错,但程序逻辑并没有按照预期进行。或者程序发生了崩溃,但崩溃得比较深,也许是其它模块没有按照预想的逻辑运行,而导致本模块的崩溃。在没有源代码的情况下,要分析应用程序的逻辑,这个时候就需要搬出逆向工程工具来。在逆向工程领域,IDA Pro(Interactive Disassembler Professional)是最重要的工具之一。

IDA Pro(Interactive Disassembler Professional)被誉为逆向工程领域的瑞士军刀,是分析恶意软件、研究软件漏洞和理解闭源软件内部逻辑的终极工具,也是破解软件的必要工具之一。我们的工作和破解、分析软件漏洞没有关系,主要是用来写着理解软件的内部逻辑。

下面以分析一个简单的 "CrackMe" 程序为例,介绍 IDA Pro 软件和使用。

首先,我编写了一个简单的 easy_crackme.exe 的程序。运行时,它会提示“请输入密码”,输入错误的密码会提示“密码错误!”,效果如下:

$ deepin-wine8-stable easy_crackme.exe 
wine version: 8.16
Please input password: hh
mistake!

接下来,打开 IDA Rro 8.0。IDA Pro 有 32 位版本和 64 位版本,根据需要分析的软件是 32 位还是 64 位选择对应的版本。将 easy_crackme.exe 拖入IDA Pro,使用默认设置进行分析。可以看到如下界面:

默认界面包含几个核心窗口:

  1. IDA View (反汇编窗口):这是最主要的窗口,以汇编代码的形式展示程序逻辑。

默认视图是图形视图,将函数内的代码块(以跳转指令分割)可视化为流程图。绿色的边代表条件跳转为真,红色的边代表为假,蓝色的边代表无条件跳转。这对于理解复杂的if-else和循环结构极为有用。

在该视图下,按空格键可以切换到文本视图。此视图线性地展示代码,左侧是地址,右侧是汇编指令和注释。

要切回图形视图,再按一次空格键即可。

  1. Hex View (十六进制窗口):以十六进制和ASCII码的形式展示文件的原始字节数据,与反汇编窗口同步。

  2. Structures (结构窗口):以树状结构展示结构体各成员的名称、偏移量(Offset)、数据类型(如 db、dw、dd)及大小。

  3. Enums(枚举窗口):用于管理和显示二进制文件中枚举类型(enum)定义的视图。它通过将数字常量转换为有意义的符号名称,显著提升反汇编代码的可读性。

  4. Imports/Exports Window (导入/导出窗口):分别显示程序调用了哪些外部库函数(Imports)以及它向外提供了哪些函数(Exports)。通过导入表可以快速了解程序的大致功能(如网络、文件、加密等)。

  5. Functions Window (函数窗口):位于最左侧,列出IDA分析识别出的所有函数。可以快速跳转到任何一个函数。非常有用的函数通常有main, start或包含关键API调用的函数。

在默认设置中没有显示的窗口视图,我个人觉得比较重要的还有**Strings Window (字符串窗口)**,在这里,IDA会自动提取程序中所有的可疑字符串。这是分析的绝佳起点,因为错误信息、文件名、URL等关键线索常常在这里暴露。

从这个字符串窗口,我们一下子发现可疑线索:

.rdata:0040A044 00000018 C Please input password: 
.rdata:0040A05E 00000018 C I am the real password!
.rdata:0040A076 00000013 C correct! welcome!\n
.rdata:0040A089 0000000A C mistake!\n

再运行一下 easy_crasckme.exe 程序:

$ deepin-wine8-stable easy_crackme.exe 
wine version: 8.16
Please input password: I am the real password!
correct! welcome!

当然,由于这个程序过于简单,所以猜测起来就比较简单。但是我们在实际项目中,还是不少人会在代码中写入连接数据库的字符串,这其中可能就包括用户名和密码。如果是明文,那就更容易被分析出来。还有不少程序员为了方便,将密钥写在代码中,且不说密钥泄露后只能通过升级程序来解决,更为可怕的是很容易被黑客通过上面简单的方法就可以分析出来。

回到实际项目中,我们不能指望程序员会将密码写到程序中,但是我们基本可以确定,如果密码输入正确后,会提示 "correct! welcome!"。因为这个是最终用户会看到的文本提示,双击该字符串,IDA会跳转到它在数据段中的地址。

选中该字符串所在的行,按下快捷键 X。IDA会弹出一个对话框,显示所有引用了这个字符串地址的代码位置。

点击确定,IDA会立即带我们跳转到使用该字符串的关键代码处。

这里可以看到一个典型的条件判断结构:一个代码块进行某些比较,然后根据结果,分别走向打印“密码正确”和“密码错误”的分支。

在这个函数内,按下 F5 键。IDA的反编译器会将复杂的汇编代码转换成类似C的伪代码,逻辑瞬间清晰:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  FILE *v3; // eax
char Buffer[100]; // [esp+1Ch] [ebp-68h] BYREF

  __main();
  rpl_printf("Please input password: ");
  v3 = ___acrt_iob_func(0);
if ( fgets(Buffer, 100, v3) )
    Buffer[strcspn(Buffer, "\n")] = 0;
if ( !strcmp(Buffer, "I am the real password!") )
    rpl_printf("correct! welcome!\n");
else
    rpl_printf("mistake!\n");
return0;
}

我们甚至可以将上述伪代码,交给 AI,写出对应的 C 语言代码:

#include <stdio.h>
#include <string.h>  // 提供字符串操作函数(strcspn, strcmp)

int main(int argc, char *argv[]) 
{
    char userInput[100];  // 存储用户输入的缓冲区(原伪代码中的Buffer)
    
    // 初始化环境(原伪代码中的__main,通常编译器自动处理)
    
    // 提示用户输入
    printf("Please input password: ");
    fflush(stdout);  // 确保提示信息立即显示
    
    // 从标准输入读取用户输入(原伪代码中的fgets+___acrt_iob_func(0))
    if (fgets(userInput, sizeof(userInput), stdin)) 
    {
        // 移除输入末尾的换行符(fgets会保留换行符)
        userInput[strcspn(userInput, "\n")] = '\0';
    }
    
    // 验证密码(原伪代码中的硬编码字符串比较)
    constchar *correctPassword = "I am the real password!";
    if (strcmp(userInput, correctPassword) == 0) 
    {
        printf("correct! welcome!\n");
    } 
    else
    {
        printf("mistake!\n");
    }
    
    return0;
}
  • 从代码中,我们可以一目了然地看到,程序的核心逻辑就是使用strcmp函数,将用户的输入 (userInput) 与一个固定的字符串 "I am the real password!" 进行比较。

  • 当且仅当两个字符串完全相同时,strcmp返回0,程序才会执行打印“密码正确”的逻辑。

  • 因此,我们成功找到了正确的密码:I am the real password!

IDA Pro的功能远不止于此,它还包括强大的调试器、脚本支持(IDAPython)、类型库和插件系统等高级功能。刚开始使用时主要用到了如下核心操作与快捷键,能够极大的提高分析的效率:

  • G (Go):跳转到指定的地址或函数名。

  • X (Cross-References):查看一个函数、变量或字符串在何处被引用。这是最重要的功能之一,可以帮您构建起代码的调用关系。

  • N (Rename):对函数、变量、地址等进行重命名。好的命名是成功的一半,例如,您可以将sub_401000重命名为ValidatePassword。

  • ; (分号):添加行注释。记录您的分析思路。

  • : (冒号):添加可重复的注释,当同一段代码在多处出现时,这个注释也会同步出现。

  • Y (Yank/Set Type):更改变量或函数的类型。例如,将一个DWORD指针的类型声明为char*,IDA就会自动将其引用的数据解析为字符串。

  • F5 (Decompiler):此键可将当前函数的汇编代码一键反编译成更易读的C伪代码。这是IDA的“杀手级”功能。

对于复杂的应用来说,可能会进行多天的连续分析,这个时候加入注释、为函数和变量重命名为一个用户友好的名字,无疑可以方便后续的理解,分析的结果可以保存起来,后续再加载。

小结

上面的示例展现了我们平常分析 wine 应用问题的经典流程:

  1. 信息收集:通过字符串等静态特征寻找突破口。

  2. 关联分析:利用交叉引用 (X) 找到关键特征在何处被使用。

  3. 逻辑理解:借助图形视图和反编译器 (F5) 理解程序的判断逻辑和算法。

  4. 得出结论:找到问题的答案。

实际的分析过程当然比这复杂得多,限于篇幅原因,这里就不继续展开,在后续的文章中,我将继续分析一些调试技巧。欢迎关注。

打开链接下载源码: https://pan.quark.cn/s/c43e5bd27521 标题中的“AMD and Nvidia GOP update 1.9.6.rar”表示这是一个包含了AMD与Nvidia显卡的GOP(Graphics Output Protocol)驱动程序升级至1.9.6版本的压缩文件。该更新主要针对显卡在UEFI(统一可扩展固件接口)环境下的图形输出性能进行优化,并致力于提升系统的稳定性。在描述中提及“显卡附加UEFI引导工具,最新版”,表明此次更新内含了一个专为UEFI BIOS环境设计的显卡引导工具,或许表现为一个自启动脚本或程序,例如GOPupd.bat。通过这一工具,用户能够在UEFI模式下对显卡进行精确的配置和初始化,从而保障操作系统能够最大化地发挥显卡的效能。必需的组件包括“colorama-0.4.3”,这是一个在Windows平台上用于管理颜色控制序列的Python模块,可能在更新过程中用于生成彩色命令行显示,以增强用户交互的直观性。此外,“Visual C++Redistributable”是微软提供的运行时支持库,旨在确保基于C++编译的应用程序能够正常运行,此处可能用于更新工具或相关依赖模块。标签“uefi bios”突显了该更新与UEFI BIOS系统的紧密关联,暗示其将作用于计算机的启动序列及硬件初始化过程。压缩包内的文件清单如下: 1. GOPupd.bat - 很有可能是负责执行GPU UEFI引导更新的核心脚本。 2. #Nvidia_ROM_Info.bat 和 #AMD_ROM_Info.bat - 这两个文档可能用于采集Nvidia与AMD显卡的ROM数据,以辅助识别显卡型号并执行适配性验证。 3....
代码下载地址: https://pan.quark.cn/s/a2e2c95e6128 意法半导体(STMicroelectronics)研发的STM32H750是一款性能优越的微控制器,属于STM32H7系列,拥有卓越的处理性能以及多元化的外设接口。在此项工作中,我们将研究如何借助STM32H750达成串口空闲中断(IDLE interrupt)的运用、借助DMA完成UART(通用异步收发传输器)的数据传输,并且探究如何运用STM32CubeMX配置并构建MDK5(Keil uVision5)项目。串口空闲中断是串口通信中的一个核心功能,当串口在一段时间内没有进行数据交换时,会引发该中断。这种功能在需要实时监测串口状态的应用场合中非常有价值,比如,在等待特定指令或需要降低能耗的情况下。在STM32H750中,设定串口空闲中断通常包含以下几个环节: 1. 串口设置:在STM32CubeMX中选定相应的UART接口,并激活中断功能。 2. 中断优先级设定:按照应用需求设定中断优先级。 3. 中断服务函数注册:在程序代码中定义中断服务函数以应对中断事件。 4. 启用串口空闲中断:在初始化代码中激活串口的IDLE位,使能中断。 DMA(Direct Memory Access)传输是一种高效的数据传输机制,它允许外设直接与内存进行交互,无需CPU的介入,从而减轻了CPU的工作负担。在STM32H750中,我们可以运用DMA配合UART来接收数据: 1. DMA配置:在STM32CubeMX中为UART选择合适的DMA通道,并设定传输特性。 2. UART配置:将UART设置为DMA模式,并指定接收缓冲区的地址。 3. 中断配置:开启DMA传输完成中断,以便在数据接收完...
源码直接下载地址: https://pan.quark.cn/s/d64de7ee3e36 STM32CubeIDE是由STMicroelectronics(意法半导体)开发的一款集成开发环境,其核心功能是针对STM32系列微控制器进行优化,并集成了包括源代码编写、编译执行、调试检测以及项目参数设置在内的完整开发工具集。该开发平台依托于Eclipse系统框架构建,旨在为编程人员营造一个便捷且生产力高的工作场景。1.9.0版本属于其产品线中的一个成熟版本,通常包含了若干性能增强措施以及新特性的集成。在嵌入式系统的构建过程中,代码的自动完成机制是一项关键的辅助技术,它能够显著提升工作速率并降低操作失误。专门为这一目的设计的STM32CubeIDE 1.9.0自动代码补全组件,能够有效满足开发者的相关需求。通过将压缩文件中的内容部署到STM32CubeIDE安装路径下的`plugins`子目录中,该插件即可被系统自动检测并激活,从而在代码编写阶段,系统能够基于上下文信息智能地预判并展示潜在的函数名称、变量定义或常量值,进而辅助开发者迅速完成输入任务。基于ARM Cortex-M架构的STM32系列微控制器,在物联网装置、工业自动化系统、个人消费类电子设备等领域具有广泛的部署。在这些应用场景中,单片机扮演着核心角色,而STM32凭借卓越的处理性能、多样化的外部接口配置以及出色的能源控制能力,已成为众多开发者的首选方案。STM32CubeIDE所提供的自动代码补全功能,对于初入行业的开发者而言尤为适宜,因为它能够实时呈现API函数的相关信息,涵盖函数标识符、参数的数据类型与数目,乃至函数的返回类型,从而协助开发者精准地运用STM32的固件库。不仅如此,即便对于已经熟练掌握ST...
内容概要:本文系统阐述了物理信息神经网络(PINNs)在求解布洛赫-托雷(Bloch-Torrey)方程中的实际应用,结合PyTorch框架提供了完整的Python代码实现案例。该方法通过将物理方程的先验知识嵌入神经网络的损失函数中,实现了无需大量标注数据即可高精度求解复杂的偏微分方程,特别适用于科学计算与工程仿真领域。文章不仅展示了PINNs在特定物理模型中的建模流程与实现细节,还强调了科研过程中逻辑严谨性、善用工具与创新思维的重要性,倡导读者循序渐进地学习,避免因过度纠结技术细节而迷失方向。配套的完整代码与资料可通过指定网盘链接或关注公众号“荔枝科研社”获取。; 适合人群:具备扎实数学基础与Python编程能力,从事科研工作或攻读研究生及以上学位的研究人员,尤其适合专注于物理建模、数值仿真、深度学习与科学计算交叉领域的学习者与开发者。; 使用场景及目标:①掌握PINNs求解经典物理方程(如Bloch-Torrey方程)的整体建模思路与代码实现流程;②深入理解如何将物理守恒律与微分算子作为软约束或硬约束融入神经网络训练过程,从而提升模型的泛化性与物理一致性;③为开展相关课题研究、撰写学术论文、复现前沿研究成果或进行跨学科创新提供可靠的技术参考与代码支持。; 阅读建议:建议读者结合所提供的代码实例,逐行调试并可视化训练过程,重点关注损失函数的设计、物理残差项的构建以及网络超参数的调优策略。同时,推荐关注公众号“荔枝科研社”以获取完整资源包,便于进行更深层次的实践拓展与科研创新。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云水木石

但行好事,莫问前程

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值