ida pro分析elf文件(linux程序)

原创 已于 2024-04-10 11:20:02 修改 · 1.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

于 2021-08-18 19:54:34 首次发布
博客内容涉及一个数据库查询错误的日志分析,通过IDA Free工具解析程序,发现代码中可能存在的limit值为0的问题。日志显示SQL语法错误,代码检查显示在计算limit时存在置0操作。由于现场版本代码未在SVN上更新,导致了这个问题的发生。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

IDA Free: https://hex-rays.com/ida-free/#download

客户反馈的日志,可以看到FROM tbl_ud_pe_eventreport_network_sum limit 0 offset 1188 part F436B5F1BCEA75FB204A64C83EF4C90D7执行语句报错了。

[1597725][2021-08-18][12:03:35][T1096963840][HQueryDB.cpp        ][0303][I]query_acuta_db_table_part_info result: str_db_name:AuditDB,str_table_name:tbl_ud_pe_eventreport_network_sum,part count:2 index 0 : mi_count:2, mi_year:2019, mi_month:4, mi_day:0, mstr_file:000000.dat, mstr_fileid:FB8EFA0B01B0C5F5D8A20C0BA387EE38D, index 1 : mi_count:772, mi_year:2021, mi_month:8, mi_day:0, mstr_file:000000.dat, mstr_fileid:F436B5F1BCEA75FB204A64C83EF4C90D7,
[1597726][2021-08-18][12:03:35][T1096963840][HQueryDB.cpp        ][0586][I]run sql...... SELECT str_record_uuid,i_interval_second,str_dev_id,str_agent_id,i_opr_count,i_internet_send_bytes,i_internet_recv_bytes,i_local_send_bytes,i_local_recv_bytes,t_start FROM tbl_ud_pe_eventreport_network_sum  limit 0 offset 1188 part F436B5F1BCEA75FB204A64C83EF4C90D7
[1597727][2021-08-18][12:03:35][T1096963840][HQueryDB.cpp        ][0444][W]run sql: SELECT str_record_uuid,i_interval_second,str_dev_id,str_agent_id,i_opr_count,i_internet_send_bytes,i_internet_recv_bytes,i_local_send_bytes,i_local_recv_bytes,t_start FROM tbl_ud_pe_eventreport_network_sum  limit 0 offset 1188 part F436B5F1BCEA75FB204A64C83EF4C90D7error,SQL syntax error

回头翻了翻svn上的代码,发现所有版本的如下

		if(it_part_last_record_offset->second >= parts_info_node.mi_count)
		{
			HLog(HGET_INFO << L"part: " << parts_info_node.mstr_file_id << L" offset: " << it_part_last_record_offset->second << L" count: "<< parts_info_node.mi_count);
			return str_ret;
		}
		int i_limit_count = (tbl_info.i_limit_count == 0 ? (parts_info_node.mi_count -  it_part_last_record_offset->second):tbl_info.i_limit_count );
		str_ret<< L" limit "<<i_limit_count <<L" offset "<< it_part_last_record_offset->second;

		if(it_part_last_record_offset->second == parts_info_node.mi_count)
		{
			HLog(HGET_INFO << L"part: " << parts_info_node.mstr_file_id << L" offset: " << it_part_last_record_offset->second << L" count: "<< parts_info_node.mi_count);
			return str_ret;
		}
		int i_limit_count = (tbl_info.i_limit_count == 0 ? (parts_info_node.mi_count -  it_part_last_record_offset->second):tbl_info.i_limit_count );
		str_ret<< L" limit "<<i_limit_count <<L" offset "<< it_part_last_record_offset->second;

所有的版本都不可能limit 为 0的
然后我们用ida解析下现场发过来的程序
在这里插入图片描述
找到现场这个程序中这个函数f5看下他的伪代码,很明显这里在偏移和表中数据总量求limit的时候如果是小于0的话,会进行一个置0的操作,这样就可以解释现场的日志中出现了limit 0的情况了,现场版本的代码不曾在svn上维护过,至于原因是后话了

IDA pro 动态调试elf文件教程
qq_40410406的博客
11-15 1464
1 首先打开ida安装目录中的dbgsrv文件夹,将linux_server64文件复制到kali中 2 更改linux_server64文件的权限,并运行 3 打开ida pro-debugger-run-remote linux debugger 4 填写对应的信息 5 设置完毕之后即可开始动态调试 ...
Linux样本——IDA调试分析ELF文件
ATree的博客
04-25 3329
主要是自己遇到了一个Linux样本,记录下从不熟悉到熟悉的过程,也可以帮助更多在逆向分析这条路上的人。 Linux平台调试工具 1、动静分析结合的跨平台工具-IDA 2、无图形界面的调试神器-GDB 3、Linux平台开源调试工具-radare2 使用IDA远程调试 1、Linux系统配置调试ELF文件环境,使用file命令查看elf文件类型,得知文件运行平台是32位 2、拷贝I...
ELF文件格式在IDA中解析
Denny_Chen_的博客
10-08 4952
一.ELF文件IDA中展现形式 ELF文件本身是一个二进制文件,对应IDA中 HEX VIEW 界面中内容,但用户关注更多的内容可能是 IDA VIEW。IDA VIEW中是对 HEX VIEW 界面中内容从头到尾的解析,并且内容一一对应(HEX VIEW内容偏移和IDA VIEW的左侧地址对应,不管鼠标在IDA VIEW还是HEX VIEW的哪个位置停留,点击进另一个界面时,地址或偏移都是对应的)。不管二进制文件有多大,解析的汇编内容都只是在IDA VIEW,只是文件很大时,解析会比较慢。 如果二进制内
linuxIDA安装使用
groundhappy的专栏
01-23 1万+
http://www.hexblog.com/?p=958 sudo dpkg --add-architecture i386 sudo apt-get update sudo apt-get install libc6-i686:i386 libexpat1:i386 libffi6:i386 libfontconfig1:i386 libfreetype6:i386 libgcc
IDA Pro Disassembler 6.8.15.413 (Windows, Linux, Mac)
weixin_34248487的博客
09-20 901
IDA: What's new in 6.8 Highlights This is mainly a maintenance release, so our focus was on fixing bugs. However, there are some improvements too: Support for long names. In previous versions of ...
IDA for Linux(Ubuntu 18.10)
weixin_43464124的博客
04-30 9460
一 、下载IDA Pro v6.4 for Linux 吾爱破解里面有 感谢 链接:https://pan.baidu.com/s/1hNJ5Y7fqs6ONbwvHzv5qnA 密码:sshc 二、解压 三、安装32位库 apt-get update apt-get install iceweasel:i386 ...
IDA动态调试ELF文件
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-14 5926
IDA动态调试ELF文件,使用linux_server远程连接到linux调试的方法步骤
ida调试linux程序,[原创]IDA动态调试ELF
weixin_32051661的博客
05-01 1783
0x00:环境待调试ELF文件IDA 7.0主机:Windows虚拟机:Linux达成效果:在Window上利用IDA远程动态调试linux里的ELF文件0x01:Unbuntu里运行IDA服务器组件IDA附带以下组件:linux_server:在Linux计算机上执行的、用于调试32位Linux应用程序服务器组件。linux_server64:在64位Linux计算机上执行的、用于调试64位...
idahunt:idahunt是一个使用IDA Pro分析二进制文件并在IDA Pro中搜寻事物的框架
05-28
idahunt是一个使用IDA Pro分析二进制文件并在IDA Pro中搜寻事物的框架。 它是用于从给定文件夹中递归分析所有可执行文件的命令行工具。 它在后台执行IDA,因此您不必手动打开每个文件。 它支持执行外部IDA Python...
安装 使用 ida pro linux
sevendemage的博客
03-28 6382
下载解压文件,然后linux下直接双击安装 ida7.5demo*******.run这个安装包然后查找安装目录,一般桌面图标都有对应执行程序的路径将crack包中的内容覆盖到这个安装目录中然后双击执行就可以正常运行,new 打开一个执行程序或者动态库查看内部逻辑注意将一些子窗口打开查看内容更方便。
ida6.3 for linux破解版
06-12
ida6 3 for linux破解版 cracked 静态逆向分析神器 由于资源较大 分两部分提供
ubuntu16.04 IDA_Pro整合版
07-20
IDA Pro V6.4 LINUX版本安装源文件!!!!!!!!!!!!!!!
LInux IDA PRO 64
专注安卓前沿科技
11-10 610
etc/apt/sources 新增 deb http://security.ubuntu.com/ubuntu xenial-security main sudo dpkg --add-architecture i386 sudo apt-get update sudo apt-get install libc6-i686:i386 libexpat1:i386 libffi6:i386 lib...
在64位linux上装IDA PRO
热门推荐
anastasia0204的专栏
12-04 1万+
target: 在64位linux上装IDA PRO   solution: 1.linux上边的IDA PRO 从52破解的网站上边下载(当然这是32位版本的) http://down.52pojie.cn/Tools/Disassemblers/IDA_Pro_v6.4_(Linux)_and_Hex-Rays_Decompiler_(ARM).zip 可以使用linux的ID
linux 环境 使用 Wine 运行 IDA Pro
TF的博客
06-14 2516
因为网上的 IDA Pro 破解版大多是 Windows 版本的,当使用 Linux 时,来回切换虚拟机就很不方便,所以本文通过安装配置 Wine ,实现在 Linux 中也能正常使用 IDA Pro 的目的。
Linux ida 代码,[分享][下载]IDA Pro 7.5 Linux Demo
weixin_33196555的博客
05-12 1893
patch过的Windows版IDA Demo 7.5 x64 Decompiler,移除了demo提示框和反编译次数(100次)限制。二进制diff如下,不想花雪币下载的话可以自行patch:$sha256sumhexx64*6c109ece9cfaf71e0445d002c6195d1b5417c5d85367920ef864102a49520bc9hexx64.dlle58ec36f...
Ida动态调试elf可执行文件
最新发布
qq_40910788的博客
04-18 348
先将ida的传递给手机(位数根据目标脚本来,32位就用32位,64位就用64位)这个server在ida安装目录的dbgsrv中根据自己的情况选择后面调试目录放在/data/local/tmp中,其他路径也可以,无要求然后,直接给777权限巡行,控制台会出现端口,说明没啥问题了然后电脑上,将可执行文件直接拖动到ida pro里(注意位数)选择调试->选择调试或者直接按f9,然后选择远程安卓调试如图如果提示其他点击确认即可然后这一步很关键然后确认,等待加载完成,就进入了调试。
Linux上安装IDA的命令,Ubuntu 10.04安装IDA PRO
weixin_34534456的博客
04-30 1090
从昨天晚上开始折腾Ubuntu 10.04下的IDA。从网上找了相关的文章但是可能是自己太菜了。折腾了一晚上愣是没搞定。话说今天看完《三国》,在朋友用自己的电脑偷菜完毕之后开始重新折腾IDA,终于有了突破性的进展。安装方法可以参考这里的这篇文章~1、download http://www.uushare.com/user/fireworld/file/2250232、unzip it ,there...
ELF文件概述
cyy001128的博客
12-20 2284
ELF 文件是一种用于存储可执行程序、目标文件、共享库等的标准文件格式,在 Linux 及其他类 Linux 操作系统(如 Unix 等)中广泛应用。它定义了一种规范的结构,使得操作系统能够准确地加载程序并使其在内存中正确执行。简单来说,当我们编写一段代码(比如用 C 语言编写)并经过编译后,生成的可执行文件往往就是以 ELF 格式存在的。它包含了程序的代码段(存放可执行的机器指令)、数据段(存放程序中定义的各种变量等数据)、符号表(记录程序中定义的函数、变量等符号信息,用于链接等操作)等重要部分。
IDApro打开什么文件
01-07
### IDA Pro 支持的文件格式 IDA Pro 能够处理多种不同类型的可执行文件,适用于不同的操作系统和硬件平台。具体来说: - **Windows 文件格式** - 可移植可执行文件 (Portable Executable, PE),这是 Windows 上的标准二进制文件格式[^2]。 - **Linux 文件格式** - ELF(Executable and Linkable Format),广泛应用于 Linux 和其他 Unix-like 系统中的目标代码、共享库和核心转储文件。 - **macOS 文件格式** - Mach-O(Mach Object File Format),苹果 macOS 平台上的主要二进制文件格式。 - **通用中间表示形式** - COFF(Common Object File Format),一种较老的目标文件格式,在某些嵌入式开发环境中仍然可见。 - **移动设备文件格式** - 对于 Android 设备,IDA Pro 支持解析 `.so` 动态链接库和其他基于 ARM 或 MIPS 架构的相关文件;对于 iOS,则可以分析 Mach-O 格式的应用程序包内的二进制组件。 除了上述常见的几种之外,IDA Pro 还兼容更多种类的文件格式,包括但不限于: - Intel HEX - Motorola S-record - Raw binary images 这些特性使得 IDA 成为了逆向工程领域内不可或缺的强大工具之一[^1]。 ```bash # 示例命令行启动特定类型文件 idaq.exe -Llogfile.txt my_program.exe # 加载并记录日志到 logfile.txt 的 PE 文件 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值