脱衣操作:strip + 文件名

1. 程序没有开启调试信息,未开启PIE保护时,用IDA静态分析查看函数地址

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

    然后用指令:b *【静态分析得到地址】查看调试信息

2. 程序没有开启调试信息,开启PIE保护时。

    步骤:

    (1)gdb

    (2)starti:程序断在start入口地址(动态调试的地址),实际和IDA分析不一样

    (3)vmmap 查看具有 x 权限的 startstartaddr     

             mianrealaddr = startstartaddr + IDA查看main函数偏移地址(界面最下面有显示)

3.  test和cmp指令比较

    cmp a1 , a2 :a1 - a2 用于修改标志位,条件跳转根据标志位跳转

    test  a1 , a2:a1 and a2 不存,SF或ZF为1则跳转 

    and  a1 , a2:a1 and a2 存在a1

4. 区别jle和jnz

    jle:带符号比较,小于或等于则转移

    jnz:jump if not zero 结果不为零则转移

    ja:无符号数的大于

    jb:无符号数的小于

    jg:有符号数大于

    jl:有符号数小于

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄