A. 请问wasm反编译出来的代码中退出程序是怎么写
直接删掉是不行的,程序会崩溃的,你需要了解动态调试的技术,在ExitProcess函数下断点,把跳转改掉即可
B. 怎么让 IDA 的 F5 支持一种新指令集
在逆向工程领域,IDA Pro是广受赞誉的反汇编和调试工具,它支持多种主流指令集,为开发者和安全研究人员提供了强大的分析能力。然而,某些特殊的指令集,如VMP指令集,可能不在IDA支持列表中。本文介绍一种方法,通过简单步骤扩展IDA以支持新指令集,缓解新指令集无反编译器的困境。方法并非原创,而是基于前辈的文章和材料总结,旨在帮助想在IDA中实现未知指令集反编译的朋友。
对于IDA处理处理器模块与Ghidra插件,IDA虽然允许用户开发特定架构的处理器模块,但无法利用其反编译功能,且编写特定架构处理器模块的过程复杂,参考资料少。相比之下,Ghidra是一款优秀的开源反编译器,用户通过插件形式添加新指令的反编译器。例如,已有插件实现Ghidra中反编译WASM模块。然而,编写Ghidra插件仍是一项复杂任务,参考资料不多,不在本文限定的“IDA”范围内。
WebAssembly(WASM)是一种流行底层指令集,主要运行在浏览器环境,也有在终端或嵌入式设备应用。一般开发者使用编译型语言如C/C++、Rust、Go开发WASM上层程序,使用LLVM将其编译为WASM模块。因此,WASM的IDA反编译方法具有代表性。目前,IDA Pro 8.4仍不支持WASM反编译,但有资料表明,IDA Pro能够反编译WASM模块。实现方法是使用wasm2c程序,将WASM模块转换为等价的C语言低级表示形式,使用GCC/CLANG编译,最后使用IDA分析最终产物。这种方法通过将WASM转换为C语言,使得IDA可以进行反编译。
在IDA中实现新指令集反编译时,wasm2c将WASM模块转换为等价的C语言形式,但这种形式的可读性较差。因此,需要使用C语言编译器优化编译结果,以适应IDA的指令集识别。这种方法实现了让IDA支持未知指令集的效果,但美中不足的是,wasm2c的转换结果可能未将内存访问以原生C语言形式表示,导致内存访问在IDA反编译结果中以函数形式呈现。对于这种情况,可以设计转换器,将指令集以函数单位转换为等价的C语言表示形式,从而快速实现未知指令集的IDA反编译器。
以WASM反编译为例,这种方法在实际应用中已经取得成功。例如,对QWB S5 VM指令集的直接转换成x64汇编,并使用IDA进行反编译,迅速发现了程序漏洞。这种转换方法在短时间内使IDA支持未知指令集,代码实现仅需3小时,代码行数在300行左右。类似的实践例子还包括栈机反编译、控制流与正确性、复杂表达式处理等,展示了该方法在不同指令集上的应用效果。
综上所述,通过将未知指令集转换为IDA能够识别的指令集,如x86或ARM,然后使用wasm2c转换为C语言,最后通过C语言编译器优化并使用IDA进行反编译,可以实现让IDA支持新指令集。这种方法适用于WASM等指令集的逆向,也能在其他小众指令集上取得成功。尽管这种方法在短时间内可以实现初步探索逆向,但要开发成熟的反编译器,仍需根据实际情况编写Ghidra反编译插件或从零开发反编译。