La idea de esta serie de tutoriales es realizar una actualización de nuestro original curso de reversing esta vez utilizando IDA PRO aprendiendo a usarlo desde cero y también trabajar en Windows más actualizados en este caso estoy utilizando Windows 10
Enviado por Sara • 12 de Junio de 2018 • 1.168 Palabras (5 Páginas) • 615 Visitas
...
[pic 10]
Para cambiar a modo gráfico o a un listado de instrucciones no gráfico podremos hacerlo alternando con la barra espaciadora.
[pic 11]
También en OPTIONS - DEBUGGING OPTIONS -LINE PREFIXES podemos agregar las direcciones delante en la vista de gráficos.
Al abrir un ejecutable lo primero que se abre en el mismo es la vista de desensamblador lo que llaman LOADER y que no ejecuta el programa sólo lo analiza con propósitos de reversing creando un archivo idb o database.
Para debuggear debemos elegir entre las varias posibilidades de debuggers que incluye IDA y arrancarlo en modo DEBUGGER lo cual veremos más adelante.
Vemos que muchas opciones del programa se ven como pestañas y al ir al menú VIEW-OPEN SUBVIEW podremos abrir pestañas según nuestro gusto y necesidad para no tener abiertas de más.
[pic 12]
Una de las posibles confusiones o molestias al usar IDA hasta que uno se acostumbra es que hay partes del grafo donde hay varias menciones a una misma dirección como por ejemplo en el inicio de una función la dirección se repite varias veces.
[pic 13]
Igual cuando ya llega a la última vez que se repite, ahí encontramos el inicio del listado desensamblado en este caso la instrucción correspondiente a 401000 es el PUSH 0.
IDA tiene la posibilidad de tunear la interface por default separadamente para el LOADER y para el DEBUGGER.
Una vez que acomodamos por ejemplo en el LOADER las ventanas y pestañas que más usamos a nuestro gusto yendo a WINDOWS-SAVE DESKTOP y poniendo la tilde en default guardará la configuración lo mismo podremos hacer cuando arranquemos en modo debugger y cambiar a una configuración por default distinta a la del LOADER.
[pic 14]
En cualquiera de las pestañas del IDA donde haya listas como por ejemplo FUNCTIONS, STRINGS, NAMES etc
[pic 15]
Podremos buscar con CTRL mas F se nos abrirá un buscador que filtra según lo que vayamos tipeando.
En VIEW- OPEN SUBVIEW-STRINGS también como en este caso que me muestre las strings que contienen “try”.
[pic 16]
También si voy a VIEW-OPEN SUBVIEW-DISASSEMBLY puedo abrir una segunda ventana de desensamblado que puede mostrar una función diferente a la primera.
[pic 17]
Tengo también en OPEN SUBVIEW en el LOADER una pestaña de vista hexadecimal o HEX DUMP.
[pic 18]
También en OPEN SUBVIEW puedo mostrar la pestaña de las funciones importadas o IMPORTS.
[pic 19]
[pic 20]
También en VIEW se activa GRAPH OVERVIEW qué es un navegador por el gráfico de la función visible, pudiendo mover y cambiar la parte que se muestra actualmente de la función en pantalla.
También tenemos pestañas dedicadas para ESTRUCTURAS, EXPORTS, NAMES, SEGMENTS etc las cuales iremos explicando a medida que las vayamos usando.
La barra de navegación superior muestra con diferentes colores las distintas partes de un ejecutable.
[pic 21]
Justo debajo nos aclara qué significa cada color por ejemplo el gris es la sección data y si clickeo en la barra en esa parte gris el gráfico se mueve a dicha sección cuyas direcciones están en gris. En la imagen vemos que la parte rosada corresponde a external symbol o la sección idata y la parte azul son las que detectó como funciones en la sección de código.
Hemos dado un primer pantallazo a vuelo de pájaro en esta parte 1 por supuesto en las siguientes iremos poco a poco profundizando.
Hasta la parte 2
Ricardo Narvaja
...