跟羽夏学 Ghidra —

写在前面

此系列是本人一个字一个字码出来的，包括示例和实验截图。本人非计算机专业，可能对本教程涉及的事物没有了解的足够深入，如有错误，欢迎批评指正。 如有好的建议，欢迎反馈。码字不易，如果本篇文章有帮助你的，如有闲钱，可以打赏支持我的创作。如想转载，请把我的转载信息附在文章后面，并声明我的个人信息和本人博客地址即可，但必须事先通知我。

你如果是从中间插过来看的，请仔细阅读 跟羽夏学 Ghidra ——简述 ，方便学习本教程。请认准 博客园 的 寂静的羽夏 ，目前仅在该平台发布。

前言

导航浏览是逆向者的基本能力，在源码完全未知的情况下，该能力是十分重要的。在介绍完如何导航分析二进制之后，我们会以逆向的角度，来审视crakeMe这个函数。

来回横跳

在我们在不同的函数之间进行切换的时候，有时候错过想回去看看的时候，再重新点回去一是麻烦，二是不准，那么咋办呢？

图中，高亮的两个按钮就是负责这个事情的。向左的箭头是回到上一次的位置Alt + 左方向键，向右的反之Alt + 右方向键。这两个功能会在之后经常用到。

搜索

搜索和搜集信息的能力是在逆向中最常用也是最重要的能力之一。

在程序中，我们可以搜索字符串，定位函数位置：

里面有很多选项，英文不会的话翻译一下，然后记住，因为专业常用的单词就几个，会了就会了。

其次，我们还可以搜内存的数据，来进行定位：

当然，这些功能应该不会特别常用，不过在特殊的场合还是有用的，比如通过特征码搜索指定函数、字符串等等。这所有的功能全部在Search菜单当中。

搜集信息

在逆向过程中，搜集信息也是十分重要的，比如字符串。

在Search菜单中选中For Strings...，将会弹出窗体：

这个是设置搜索属性的，如果有特殊的自行设置，如果没有，直接默认搜索，在本示例会得到如下内容：

Ghidra也能搜索常量，在Search菜单中选中For Scalars...：

选好常量范围后，然后点击搜索，会得到如下结果：

不过，搜索常量似乎用处不大。

对于某个位置的引用，我想获得分析得到的所有直接引用，并选择跳转到哪一个，在Search菜单中选中For Direct Reference...：

不过查引用的时候一般不会用这个，我们更偏爱使用这种方式查找：

我们既可以获取该地址的引用，如果是函数地址，也能获取到函数的引用。

Ghidra与此同时也支持指令模式搜索，在Search菜单中选中For Instruction Patterns...：

不过，要使用这个，首先需要要点击编辑按钮（笔的图标），输入硬编码之后确认，然后点击搜索即可：

其他

不知道你有没有注意到工具栏上几个小小的字母图标：

这几个图标有自己的作用，不过通过工具英文提示也明白啥作用，这里就总结一下（从左到右依次）：

设置方向：通过该按钮可以更改跳转的方向，这个仅对图上的按钮有效，方向指示和图标一致。
下一条指令：跳转到下一条指令。通过实验得知，它会跳转到匹配到非上一条为指令的指令。The Ghidra Book并没有解释清楚。
下一条数据：跳转到下一条数据。
下一个未定义：跳转到下一个未定义类型的数据。
下一个标签：跳转到下一个标签。
下一个函数：跳转到下一个函数。
下一个非函数指令：跳转到下一个不属于函数内部的指令。
下一个不同字节值：跳转到下一个不同的字节的值。
下一个书签：跳转到下一个书签。

实验

学习了这些，我们开始从逆向者的角度，来开始分析。

在开始破解实验的时候，我们看到显示了一个字符串请输入密钥：，这个是我们的一个关键突破口，如果能找到，会有一定的概率破解（不排除有假的）。

然后，我们开始菜单Search-For Strings...，开始搜索，最终我们定位到位置：

跳转到这个位置：

                      s__004021ff                           XREF[2]:  getKey:004014b4(*),

                                                                      getKey:004014b4(*)

     004021ff e8 af       ds       u8"请输入密钥："

             b7 e8

             be 93

                      //

                      // .eh_frame_hdr

                      // SHT_PROGBITS  [0x402214 - 0x40228f]

                      // ram:00402214-ram:0040228f

                      //

                        ************************************************

                        * Exception Handler Frame Header               *

                        ************************************************

                      __GNU_EH_FRAME_HDR                    XREF[2]:  00400210(*),

                                                                      _elfSectionHeaders::00000

     00402214 01 1b       eh_fra                                         Exception Handler Frame H

             03 3b

我们看到这里有交叉引用，是从getKey函数来的，跟过去：

int getKey(void)

{

  int local_c;

  puts("请输入密钥：");

  __isoc99_scanf("%d",&local_c);

  return local_c;

}

根据反编译结果，理解了该函数的功能，我们需要分析一下该函数的引用：

通过简单的分析，我们推测CALL getKey这个地址最有嫌疑，我们跟过去：

bool crackMe(void)

{

  int iVar1;

  iVar1 = getKey();

  return iVar1 == 0x123456;

}

可以看出，拿到返回值之后，会判断是否和0x123456相等，并将比较结果返回。

我们如法炮制，最终跟到了这个位置（局部）：

iVar1 = crackMe();

if (iVar1 == 0) {

  puts("抱歉，没成功哦，再试一次！");

}

else {

  puts(">> 祝贺破解成功！");

}

此时，我们明白了结果。只要输入的值与0x123456相等就通过，由于是十进制输入，就是1193046。输进去就是下面的结果：

至此，该实验结束。

小结

本篇博文我们介绍了如何导航并搜集自己所需要的信息。不过逆向并没有这么简单，该示例并不难，且有源码，有前面教程分析的基础上，看起来相当简单，不信？你直接搜字符串都不一定搜得到。

跟羽夏学 Ghidra ——调试