环境配置切换python版本运行IDA安装目录下的idapyswitch.exe，选择使用的python解释器。在PyCharm中写IDAPython脚本在PyCharm的设置→项目→Python解释器点击设置选择全部显示…点击如下位置添加自定义路径路径选择IDAPro7.6\python\3貌似3和2表示Python3和Python2。之后就可以使用PyCharm的智能补全编写IDAPython程序了。IDAPython常用API常见模块IDC：封装IDA与IDC函数的兼容性模块idautils：高级实用的模块idaapi：允许访问更加底层的数据获取地址idc.here()或idc.get_

0x00前言上一篇分享了使用Androidstudio和Jeb对Apk文件直接进行动态调试，本文将分享使用IDApro调试so。调试的apk文件还是使用CTF案例4的文件，已经上传到知识星球，可自行下载本文涉及技术：IDApro工具使用调试android应用动态调试技术注意：本案例所需要的apk文件，已经上传到知识星球，需要的朋友可以到文末关注后下载0x01准备1、下载案例Apk文件使用AndroidKiller工具修改配置文件，加上android:debuggable=“true”这个配置，这样apk就可以被调试了。2、找到IDA_Pro_v7.5_Portable\dbgsrv目录，里面文

拿到程序，我们先查一下有没有加壳，发现没有加壳，并且是64位程序，拖进ida分析其代码逻辑int__cdeclmain(intargc,constchar**argv,constchar**envp){ void**v3;//rcx __int64v4;//r8 size_tv5;//r10 void**v6;//rax void**v7;//r8 void**v8;//rax void**v9;//r8 void**v10;//rax void**v11;//r8 void**v12;//rdx intv13;//eax constchar*v14;//rdx sub_7FF6E386241

我正在使用IDAPro反汇编WindowsDLL文件。有一次我有一行代码说movesi,dword_xxxxxxxx我需要知道dword是什么，但双击它会将我带到.data页面，一切都是问号。我如何获得应该存在的纯文本？ 最佳答案 如果您在IDA中看到问号，这意味着文件(在您的磁盘驱动器上)的这个位置没有物理数据。PE文件中的节有一个物理大小(由节头的SizeOfRawData字段给出)。此物理大小(在磁盘上)可能与Windows加载程序将其映射到进程内存后的部分大小不同(此大小由部分标题的VirtualSize字段给出)。因此，如

IDAPro内置的IDC脚本语言是一种灵活的、C语言风格的脚本语言，旨在帮助逆向工程师更轻松地进行反汇编和静态分析。IDC脚本语言支持变量、表达式、循环、分支、函数等C语言中的常见语法结构，并且还提供了许多特定于反汇编和静态分析的函数和操作符。由于其灵活性和可扩展性，许多逆向工程师都喜欢使用IDC脚本语言来自动化反汇编和静态分析过程，以提高效率和准确性。在IDA中如果读者按下Shift+F2则可调出脚本编辑器，如下图所示，其中左侧代表当前脚本的名称列表，右侧则代表脚本的具体实现细节，底部存在三个菜单，第一个按钮是运行脚本，第二个按钮是覆盖导入脚本，第三个则是追加导入，他们之间的功能个有不同，读

我试图在IDA中找出一种方法，哪些导出是数据导出，哪些是实函数导出。例如，让我们看一下Microsoft的msftedit.dll的导出条目:虽然CreateTextServices是真正的导出函数:IID_IRichEditOle是数据导出，而IDA未能意识到这一点，将数据作为代码插入:有人知道区分这两者的可靠方法吗？帮助将不胜感激。提前致谢。 最佳答案 对于每种导出，都没有完全可靠的方法来执行此操作。每次导出仅在可执行文件中指定一个偏移量-从逻辑上讲，任何引用该可执行文件的其他代码都可以将其视为代码或数据。正如您提到的，您几乎可

前言继续跟着龙哥的unidbg学习：SO入门实战教程三：V2-Sign_unidbgcontext_白龙~的博客-CSDN博客还是那句，我会借鉴龙哥的文章，以一个初学者的角度，加上自己的理解，把内容丰富一下，尽量做到不在龙哥的基础上画蛇添足，哈哈。感谢观看的朋友分析打开app，抓包，发现有个sign这个sign就是今天的重点了，jadx打开apk，可以，没有加壳，一搜，发现很快就搜到这些了，而且也不多问题不大，用objcetion把这几个都hook了，看看是走的哪里，没搞多久，就看到这里，入参和返回值，感觉就是这里了因为这个返回值的格式，根抓包看到的格式基本一致还有一个，我们看看请求的加密和解

首先在网上查找一些检测代码放入项目运行，用ida打开后F5得到下面的__int64__usercallsub_10001B3F0@(__int64a1,__int64a2,__int64a3,__int64a4,__int64a5,__int64a6,__int64a7,__int64a8,__int64a9,__int64a10,__int64a11,__int64a12,...){__int64v12;//x0__int64v13;//x21intv14;//w20__int64v15;//x0__int64v16;//x21intv17;//w22BOOLv18;//w23BOOLv19

第1课：二进制安全逆向介绍二进制安全，能干什么逆向分析:负责成品软件的技术原理.比如分析竞品软件,吸取技术上的优点,进行技术难点公关病毒分析:负责分析病毒样本.研究恶意代码的技术手段等工作.主要是在安全公司,尤其是在杀毒软件公司需求较多.如360、腾讯电脑管家等.漏洞挖掘分析:负责分析漏洞样本,或者漏洞的挖掘.目前二进制的主要方向.涉及范围广,从主流浏览器虚拟机内核到IOT还有android和IOS移动平台.移动安全:负责移动端安全.如移动端的漏洞挖掘,还有加壳混淆等安全开发:包含较广.比如硬件平台,内核安全等.一般也是安全公司.如防火墙主动防御系统反外挂等逆向与开发的对比以C语言举例，C语言

我试图了解IOSobjective-C消息调用是如何用ARM汇编语言实现的。查看IDA反汇编输出，我可以看到在调用__obj_msgsend之前将类和选择器引用插入寄存器。这是完全有道理的，但奇怪的是这些值有一个奇怪的偏移量。selectorref=(selRef_arrayWithObject_-0x29B0)classref=(classRef_NSArray-0x29BC)类ref中的0x29BC值似乎指向__obj_msgsend之后的指令，它具有一定的逻辑，但0x29B0选择器ref指向随机MOVT指令。更糟糕的是，对于每个选择器调用，此偏移量似乎都不同。有谁知道这些偏移量是