本文最早上传于先知社区IDA旧版本插件移植后卡死的研究及修复-先知社区 (aliyun.com)

修复后ida下载地址

通过网盘分享的文件：IDA_Pro_v8.3_Portable.7z
链接: a25K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4b7g2N6E0x3K6q4I4K9p5N6J5d9U0q4u0d9K6g2%4d9#2m8c8N6@1A6g2f1g2)9K6c8Y4m8%4k6q4)9K6c8r3c8V1L8%4x3`. 提取码: ddos

如还存在问题可以联系Q :3824970852 笔者抽空时可以研究修复一下

近日在研究异构路由器漏洞时，笔者使用的IDA出现了反编译异构路由器卡死的问题，和身边是师傅们交流后发现，这种问题不在少数，这种工具类的问题严重影响了正常的工作，故进行研究。

​ 出现问题的直接原因在于此前由于IDA 8.3及以后的hexrays并未泄露，无法使用过去IDA 7.7的插件进行反编译，一通操作下通过ida_dll_shim等项目对7.7的hexrays进行了移植。移植完成后虽然可以使用，但部分函数仍出现IDA反编译时出现卡死等情况，导致vulfi等一众扫描类的插件不能以预期状态运行。

​ 不过功夫不负有心人，笔者在搜寻的过程中找到了一篇帖子 在新版IDA中使用旧版本反编译插件，帖子提供了一种修复的方法，但帖子中提供的修复方法并非不详细，并且修复的方法并不合理，对正常逆向存在一定的影响，故笔者决定自己对这次异常进行研究，并给予修复方案。

​ 在研究开始时，我的第一反应是需要了解IDA是在什么函数的什么地方出现了卡死，毕竟只有跟踪到了出现异常的点，才能进一步研究。这里我选择了xdbg进行跟踪分析函数调用，来解答我的下面两个疑问：

​ 根据异常出现在arm32位反编译的情况下，不难猜测出这个问题大概率出现在hexarm.dll这个链接库中，所以接下来的分析主要针对涉hexarm.dll调用的相关函数。为了找到卡死的点，我先写了一个IDAPython脚本，来依次反编译程序的所有函数，直至卡死为止。

​ 这里我使用的是一个16KB的小的ARM32文件，在正常情况下只需要不到几秒中的时间就会运行完毕，但发现即使经过长时间后程序仍然卡在在sub_8DB0这里，那么不必多是，此时就是想要的异常情况了。

​ 接下来我使用xdbg来附加现在处于卡死状态的IDA，为了找出此时死循环运行的函数，我通过alt+k去查看目前函数的调用关系，来确定函数，下面是我捕获的函数调用关系（主线程）

​ 通过栈帧的调用关系可以发现程序在不停止的运行ida-orig.is_numop+191函数，此函数是ida.dll中的API，7.7的插件这里出现了问题，且两个插件本在各自的版本都没有出现问题，移植后却出现卡死的问题，这里合理怀疑是IDA对这个API进行了部分改动，所以我特地去查看了其相关的信息。

​ 根据hexray官网给出的信息，这个函数确实在7.x到8.x进行了内容的变动，并且这个函数的功能是判断转入的数是否为该进制表示方法数字。

​ 对此，问题出现的原因就已经明确了，IDA再进行更新时有着API的变动，而可能时函数内部逻辑的改变使得结果的不同，导致陷入死循环，那么接下来就是这时候我选择先对IDA7.7和IDA8.4的ida-orig.is_numop进行对比分析。

这里我们从复杂的8.4版本入手，抛开其他结构只观察函数逻辑本身的情况下，函数is_numop的作用是检查给定的64位整数a1中特定的四位字段是否匹配预定义的数值模式，具体取决于第二个参数a2的低四位值。

字段位置计算：

模式匹配：

每个四位字段需要等于以下值之一（掩码为0xF左移后的结果）：

​ 而我们分析完复杂的8.4版本后，再看一眼7.7版本时，顿时感到7.7的函数眉清目秀的，这里就不详细分析它的逻辑了，只给出它俩的差异。

​ 简单的理解来看新版的is_numop传入的参数a1是去判读64个bit的操作，而7.7版本及以前都是32个bit判断的简单逻辑，并且逻辑不完全相同。既然分析出了具体原因，接下来的就是对dll文件进行修复了。

修复这个问题，也分为多个思路，而笔者并不采用先前文章中的修复方法（先前文章是通过使用is_numop0替换is_numop），因为新版is_numop0函数的本质逻辑是调用了is_numop(a1,0)，根据我们上方的分析来看，is_numop0对应的判断逻辑应该是这样的

​ 这样的情况下is_numop0只会对20-23位进行操作，但正常情况下对24-27的判断就会失效，也就是当n传入的值不等于0或0xf时，进行的判断和原先的函数是不同的。为了不影响反编译的结果和程序的健壮性，我需要一个更靠谱的方法去修复。

​ 最容易想到的方法是将老版本is_numop写入hexarm.dll并修改名称，并将原先的is_numop调用修改为新函数，不过这种方法在操作上稍显麻烦。第二种容易想到方法是根据函数的逻辑，对函数外的代码进行部分修改，使他进入函数是时满足条件切正确，但过少的空间使得第二种方法并不容易，甚至无法完成，第三种方法是则是通过dll劫持，将is_numop指向到新的函数。思考再三，为了追求稳定性，最终选择了第三种修复方法。

在修复之前，先缕一便当前IDA在执行反编译时链接库之间的依赖关系，下图是笔者修复前链接库的关系。

​ 经过上图我们可以看到，我先前使用的项目ida_dll_shim本质上就是进行了一个dll的劫持来修复旧版本插件不识别的问题，但由于is_numop只是改变函数内容，如果将把8.4dll的is_numop直接修改为7.7的is_numop后，原先自带的8.4hexrays-x86_64则可能出现问题，为了不影响新插件的功能，故这个项目并没有对这种内容改变函数进行明确修改，最终导致这个问题。

​ 再回头来考虑我们修复的实现方法，为解决这个问题我们可以通过在ida.dll中创建一个新的函数is_num0p来代替is_numop，并在老版本插件将新函数的替换原先的is_num0p。

首先我们要重新编译ida_dll_shim中的ida(这里建议大家先看一遍原先的项目文件，并跟着项目操作完，因为这里是在操作完一次项目操作后进行的，这里我默认大家已经跟着项目修复完第一次了，已经有ida-orig和ida64-orig文件),上文提到过，ida_dll_shim是通过dll劫持实现的，本质上是创建一个新ida.dll转发了ida-orig中的函数，并添加了新函数，这里我们在项目的ida_dll_exports.h中创建一个新的函数并放入老版ida的代码。

​ 最终使用VS重新编译出ida和ida64，替换第一次生成的ida和ida64，生成完成后可以使用ida查看export来检查是否生成正确，正确的情况下是可以看到is_numop和is_num0p同时存在并且可以点击进入的。至此，我们对ida.dll的修复已经完成。接下来就是改变hex异构反编译dll的导入函数表了。

这里我使用的是CFF ，将异构hex反编译dll->importDirectory->导入函数is_numop改为is_num0p并保存，如图是修改后的情况。

修复完成后再一次启动ida，并用xdbg进行跟踪，发现程序已经进入到我们所创建的函数中。

再次运行测试案例，程序可以正常运行完毕,并未出现卡死的情况，至此我们的修复已经完成。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！