[原创]使用IDA PRO+OllyDbg+PEview 追踪windows API 动态链接库函数的调用过程。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]使用IDA PRO+OllyDbg+PEview 追踪windows API 动态链接库函数的调用过程。

发表于: 2015-2-12 05:19 38775

[原创]使用IDA PRO+OllyDbg+PEview 追踪windows API 动态链接库函数的调用过程。

shayi

2015-2-12 05:19

38775

#include "stdio.h"

long add(long a, long b)
{
    long x = a, y = b;
    return (x + y);
}

int main(int argc, char* argv[])
{
    long a = 1, b = 2;
    
    printf("%d\n", add(a, b));

    return 0;
}

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・73

免费・3

支持

最新回复 (28) 1 2 ▶
lihuakx 雪币： 32 活跃值： (1390) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	lihuakx 2 楼写的很清楚哦。 2015-2-12 07:31 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 3 楼补充一下,前面在查看绝大部分使用静态链接的程序中,整个函数的调用拓扑,非常凌乱,我们甚至找不到main函数与最终的DLL函数入口下面这张来自于 IDA PRO 的函数递归调用图,把范围缩小到了我们追踪的从main()到 EnterCriticalSection() 的整个过程,验证了前面在StackFrame的代码节中的查找工作: 2015-2-14 00:05 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 4 楼下面这张图是用于生成上图的函数调用设置: 2015-2-14 00:20 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2593 粉丝 3 关注私信	yingyue 5 楼不错。。。。。。。。。。。。。。。。。。。。 2015-2-14 04:38 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 6 楼帖子中使用的测试程序，实际上是《逆向工程核心原理》一书中，第7章的实例程序 StackFrame.exe 各位若要使用IDA或者OD对其进行分析，可以在这里下载该文件，解压后以OD加载或IDA加载即可 StackFrame.rar 或者，也可以去该书作者的博客下载配书资源，里面的第7章文件夹中的文件与这里的相同上传的附件： StackFrame.rar （23.22kb，96次下载） 2015-2-23 19:44 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 7 楼写的很清楚哦。 2015-2-23 20:16 0
寒江孤影雪币： 15 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	寒江孤影 8 楼你这IDA界面是主题吗？哪里下载的。可以给一份吗 2015-2-24 11:09 0
xie风腾雪币： 13530 活跃值： (6208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1079 粉丝 6 关注私信	xie风腾 9 楼好强大的呢,来学习 2015-2-24 11:28 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 10 楼这是开启windows 7 的Aero 特效桌面主题后,启动放大镜,再启用"颜色反转"时,截的图,不是IDA的主题界面 2015-2-24 15:37 0
OnlyForU 雪币： 346 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 184 粉丝 0 关注私信	OnlyForU 11 楼已拜读！！！！ 2015-2-25 00:09 0
killbr 雪币： 16645 活跃值： (1950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 256 回帖 1712 粉丝 5 关注私信	killbr 12 楼走迷宫高手…… 2015-2-25 20:34 0
kuty 雪币： 66 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	kuty 13 楼 LZ介绍的很详细，支持一个。 2015-2-26 10:12 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 14 楼基础的文章越来越少，顶下。 2015-2-26 11:19 0
hbcld 雪币： 43 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 15 楼先mark，慢慢学些看 2015-2-27 15:24 0
小鸡炖蘑菇雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	小鸡炖蘑菇 16 楼不错类似于教材性质的文章适合新人 2015-3-4 14:04 0
Nekoxiaoji 雪币： 688 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 17 楼楼主使用的OD 是什么版本的?能否提供一下? 2015-3-6 16:11 0
checkmate 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 54 粉丝 0 关注私信	checkmate 18 楼看完了。不过这里使用IDA的意义在哪？直接用OD不也可以完成分析吗？ 2015-3-6 23:05 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 19 楼如果LZ仅用OD分析，就不会有这篇文章了，IDA的强大之处在于，可以迅速准确地区分库代码与程序员代码，而且这里也用到了IDA绘制函数调用流程图的功能，可以这么讲，在OD动态调试时，IDA就是我们的灯塔，以至于不会在代码的汪洋中迷失方向，代码行数量越大的软件，IDA的作用越明显。 2015-3-6 23:42 0
TOMsc 雪币： 87 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	TOMsc 20 楼写的很详细 2015-3-13 10:44 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 21 楼感谢分享。 2015-6-4 22:47 0
hulucc 雪币： 81 活跃值： (115) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 2 关注私信	hulucc 22 楼然而IDA并不能，你这里能区分是因为你并没有调用什么奇怪的库如果用了boost,openssl之类的除非自己制作sig，然后你又不知道对方的版本，就算知道了版本，你还要猜对方的编译优化选项，一些游戏的库会用非常多的优化手段然而有些库你虽然知道名字，但是你拿不到lib，制作不了sig，IDA什么都帮不了你 2015-6-5 16:25 1
yalohalo 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	yalohalo 23 楼学习了，谢谢。 2015-9-1 15:53 0
lzq李志强雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	lzq李志强 24 楼 mark thanks 2015-10-18 23:31 0
qqv 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	qqv 25 楼多谢楼主, 非常适合我这样的汇编菜比 2016-7-1 13:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

shayi

发帖

269

回帖

460

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
lihuakx 雪币： 32 活跃值： (1390) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	lihuakx 2 楼写的很清楚哦。 2015-2-12 07:31 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 3 楼补充一下,前面在查看绝大部分使用静态链接的程序中,整个函数的调用拓扑,非常凌乱,我们甚至找不到main函数与最终的DLL函数入口下面这张来自于 IDA PRO 的函数递归调用图,把范围缩小到了我们追踪的从main()到 EnterCriticalSection() 的整个过程,验证了前面在StackFrame的代码节中的查找工作: 2015-2-14 00:05 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 4 楼下面这张图是用于生成上图的函数调用设置: 2015-2-14 00:20 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2593 粉丝 3 关注私信	yingyue 5 楼不错。。。。。。。。。。。。。。。。。。。。 2015-2-14 04:38 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 6 楼帖子中使用的测试程序，实际上是《逆向工程核心原理》一书中，第7章的实例程序 StackFrame.exe 各位若要使用IDA或者OD对其进行分析，可以在这里下载该文件，解压后以OD加载或IDA加载即可 StackFrame.rar 或者，也可以去该书作者的博客下载配书资源，里面的第7章文件夹中的文件与这里的相同上传的附件： StackFrame.rar （23.22kb，96次下载） 2015-2-23 19:44 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 7 楼写的很清楚哦。 2015-2-23 20:16 0
寒江孤影雪币： 15 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	寒江孤影 8 楼你这IDA界面是主题吗？哪里下载的。可以给一份吗 2015-2-24 11:09 0
xie风腾雪币： 13530 活跃值： (6208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1079 粉丝 6 关注私信	xie风腾 9 楼好强大的呢,来学习 2015-2-24 11:28 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 10 楼这是开启windows 7 的Aero 特效桌面主题后,启动放大镜,再启用"颜色反转"时,截的图,不是IDA的主题界面 2015-2-24 15:37 0
OnlyForU 雪币： 346 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 184 粉丝 0 关注私信	OnlyForU 11 楼已拜读！！！！ 2015-2-25 00:09 0
killbr 雪币： 16645 活跃值： (1950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 256 回帖 1712 粉丝 5 关注私信	killbr 12 楼走迷宫高手…… 2015-2-25 20:34 0
kuty 雪币： 66 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	kuty 13 楼 LZ介绍的很详细，支持一个。 2015-2-26 10:12 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 14 楼基础的文章越来越少，顶下。 2015-2-26 11:19 0
hbcld 雪币： 43 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 15 楼先mark，慢慢学些看 2015-2-27 15:24 0
小鸡炖蘑菇雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	小鸡炖蘑菇 16 楼不错类似于教材性质的文章适合新人 2015-3-4 14:04 0
Nekoxiaoji 雪币： 688 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 17 楼楼主使用的OD 是什么版本的?能否提供一下? 2015-3-6 16:11 0
checkmate 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 54 粉丝 0 关注私信	checkmate 18 楼看完了。不过这里使用IDA的意义在哪？直接用OD不也可以完成分析吗？ 2015-3-6 23:05 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 19 楼如果LZ仅用OD分析，就不会有这篇文章了，IDA的强大之处在于，可以迅速准确地区分库代码与程序员代码，而且这里也用到了IDA绘制函数调用流程图的功能，可以这么讲，在OD动态调试时，IDA就是我们的灯塔，以至于不会在代码的汪洋中迷失方向，代码行数量越大的软件，IDA的作用越明显。 2015-3-6 23:42 0
TOMsc 雪币： 87 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	TOMsc 20 楼写的很详细 2015-3-13 10:44 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 21 楼感谢分享。 2015-6-4 22:47 0
hulucc 雪币： 81 活跃值： (115) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 2 关注私信	hulucc 22 楼然而IDA并不能，你这里能区分是因为你并没有调用什么奇怪的库如果用了boost,openssl之类的除非自己制作sig，然后你又不知道对方的版本，就算知道了版本，你还要猜对方的编译优化选项，一些游戏的库会用非常多的优化手段然而有些库你虽然知道名字，但是你拿不到lib，制作不了sig，IDA什么都帮不了你 2015-6-5 16:25 1
yalohalo 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	yalohalo 23 楼学习了，谢谢。 2015-9-1 15:53 0
lzq李志强雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	lzq李志强 24 楼 mark thanks 2015-10-18 23:31 0
qqv 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	qqv 25 楼多谢楼主, 非常适合我这样的汇编菜比 2016-7-1 13:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复