一、ida动态调试

1、介绍

众所周知，ida是一款非常优秀的反编译软件，在静态逆向中是属于屠龙宝刀一般的存在，他不仅仅有着优秀的静态分析能力，同时还有着极其优秀的动态调试能力，甚至可以直接对生成的伪代码进行调试，这一点远超其他只能在汇编层进行调试的动态调试器，极大的增加了动态调试程序的可读性，能够节省很多精力。甚至可以以远程调试的方式，将程序部署在linux或安卓端上，实现elf文件和so文件等的动态调试。

2、本地调试（windows）

首先从本地动态调试开始

加载目标文件

万年第一步，使用ida打开目标文件，然后点击菜单项中的“Debugger”

选择select debugger
本地调试Windows文件，所以这里选择local Windows debugger。
点击ok之后，再看debugger菜单发现此时菜单以新的形式展开

此时再点击带有绿色三角符号的“Start process”即可开始调试程序

ida还支持另一种调试方式，即将目标文件附加到一个正在运行的进程上，以调试某些无法独立运行的文件，如果想以这种方式进行调试，则在选好调试器后点击“Attach to process”后即可选择附加进程

调试器界面

经过一段时间的加载之后，进入了调试器界面
“IDA-view-eip”界面是反汇编窗口，在这里点击f5，可以进入伪代码调试

可以说是非常的好用
下面的“hex view”顾名思义，右边从上到下分别是级寄存器/标志寄存，加载到进程内存空间中的可执行文件和共享库，双击模块名称可打开该模块输出的符号表，再向下看就是栈窗口

调试命令

断点

ida的动态调试同样支持设置条件断点

设置好断点后，右键断点，点击第二行“Edit breakpoint”即可打开断点设置菜单

location栏是断点地址，condition栏则是条件断点的表达式
例：EAX == 12
指当EAX的值为12时中断，同时，因为condition栏由IDC表达式支持，所以可以使用一些IDC的函数。
比如：GetRegValue(“ZF”)
指当ZF的值不为0时中断

监视窗口

ida同样也支持对数据的监视，需要监视的数据一般在栈或者数据块中，进入栈或者数据，点击右键打开菜单，选择“Add watch”
即可在窗口“watch list”中显示，如果需要删除，则按“Delete”键

3、远程调试

ida支持远程调试Windows、linux、Android、Mac OS的二进制文件，将文件放在远程的对应系统服务器上，ida远程连接服务器，在服务器上运行、调试程序，并在本地客户端显示调试界面。界面视图上和本地调试并没有区别。
如果需要远程调试，首先需要将ida的服务端部署在远程服务器上，ida的服务端存储在ida目录中的dbgsrv文件中
将需要调试的文件和服务端版本放入服务器中，然后运行服务端，会默认在23946端口启动ida服务端程序，以linux为例
被调试程序是64位elf文件，所以在linux端运行linux_server64，然后回到客户端

客户端的第一步没什么变化，在菜单选择debugger栏，在选择debugger时，选择Remote Linux debugger
然后在菜单中先选择“Process option”进行设置

打开后页面如下
第一行application和input file选择被调试文件在服务端中的存储路径。下面第三行的directory是存储路径，直接选被调试文件所在目录就行。再下面第四行的是程序启动时传入的参数，可以为空。第五行则“Hostname”则填服务端的ip和端口号，我这里选的服务端是虚拟机。最后一行的passWord是linux_server启动时设置的密码，如果没有设置，则为空即可。全部设置正确之后就可以开始调试了
点击“start process”开始调试程序

可以看到在服务端程序已经成功启动

接下来的步骤和本地调试并没有什么区别不再赘述。其他安卓和Mac的文件远程调试也是大同小异，也不再多说了。

来源地址：https://blog.csdn.net/m0_52164435/article/details/124871122