IDA Pro反编译bin文件时基址为什么重要 IDA Pro反编译bin文件时映射关系该怎么填

IDA Pro反编译bin文件时基址为什么重要，以及反编译bin文件时映射关系该怎么填写，是在分析固件、裸机程序、Bootloader或者ROM镜像的时候，经常会碰到的一类问题。bin文件和ELF、PE这一类的文件不太一样，它通常缺少完整的段表、入口点、重定位信息，也没有符号信息。也就是说，IDA本身并不知道这段代码原本应当在什么地址上运行，它只能按照用户填进去的加载信息去进行解释。一旦基址填错了，反汇编出来的结果，或许还能看到一些指令，但是交叉引用、函数调用、跳转关系，还有F5生成的伪代码，就都会变得不再可靠。

一、IDA Pro反编译bin文件时基址为什么重要

bin文件本身只是一段连续的字节，缺少了“这段代码应该被放在哪里运行”的上下文。基址填得是不是正确，会直接影响到IDA对于地址、跳转、函数边界，还有数据引用的判断。

1、基址决定了代码里的地址怎样被解释

很多bin文件里面，都会出现绝对地址的访问，比如去读取固定的外设寄存器、跳转到中断向量表、访问ROM里的常量表等等。要是基址错了，IDA就会把这些地址解释到错误的位置上去，结果本来应当指向函数，或者指向数据的引用，就会变成一串没有办法关联起来的数字。哪怕到了后面再按下F5，也有可能出现伪代码跳转混乱，或者函数调用识别不准确的问题。

2、基址会影响交叉引用和函数的识别

IDA的交叉引用功能，要依赖地址之间的相互关系。基址正确的时候，跳转表、函数指针、字符串引用、常量表这些东西，就比较容易被打通；一旦基址错了，很多引用就会断开，函数看起来就像是一些孤零零的代码块。尤其是固件里面经常见到的中断向量表、初始化表、回调表，在基址不对的时候，很容易被错误地判断成普通的数据。

3、基址并不等于文件的偏移

很多刚开始分析的人，会把文件的偏移和运行的地址混为一谈。文件的偏移，是bin文件当中某个字节所在的位置，而运行的地址，则是CPU在执行的时候所看到的地址。打个比方，文件的第0个字节，有可能对应着运行地址0x08000000，也有可能对应着0x00000000，或者0x10000000，这都要看芯片是怎么做映射的，以及链接脚本是怎样写的。

二、IDA Pro反编译bin文件时映射关系该怎么填

映射关系，并不是随便填一个0作为开始就算完事了。要把芯片的手册、链接脚本、启动地址、向量表的位置，还有固件的烧录地址，这几样东西结合在一起来判断。只要能够找到其中一个比较可靠的依据，后面就可以一步一步地把它校准出来。

1、先确认处理器和指令的模式

导入bin文件以前，要先确定CPU的架构，比如ARM、ARM64、MIPS、PowerPC，或者8051等等。对于ARM一类的固件，还要留心ARM和Thumb模式的区别，如果模式选错了，IDA就会把正常的代码反成乱码。这一步甚至比基址本身更靠前，因为处理器类型一旦选错，后面基址填得再对，也没有什么用处。

2、填写加载的地址

在【Load a new file】窗口里面，选择二进制加载的方式之后，就要根据固件实际的运行地址，去填写加载地址了。

如果是MCU的固件，可以优先去看芯片Flash的起始地址，比如在一些常见的场景当中，固件可能是从0x08000000这一类地址开始的；如果是Boot ROM，或者是外部Flash的映射，那就要去参考项目的链接脚本、map文件，或者烧录的配置。不能仅仅因为文件是从0开始的，就把运行地址也直接填成0。

3、根据向量表和入口点去校验

导入以后，可以先看一看文件的头部，是不是像一个向量表，其中的第一项可能是栈顶的地址，第二项则可能是复位的入口地址。如果第二项指向的那个地址，刚好落在了当前加载的范围之内，那就说明基址很大概率是合理的；要是它完全指向了范围之外，那就要怀疑是不是加载地址填错了，或者文件的前面还有一部分头部，需要先跳过去。

三、IDA Pro分析bin文件时怎么修正映射问题

bin文件在第一次导入的时候，映射关系不一定就完全正确，后面还可以根据分析的结果，继续去做出调整。这里的关键在于，不要长时间地停留在一个错误的基址上去硬分析，不然的话，函数名、注释、结构体这一些，都有可能建立在错误的地址上面。

1、发现地址错位，要及时重载或者重定位

如果已经确认了加载地址不对，那就可以重新导入，也可以借助重定位的功能，去调整程序的基址。调整过后，要重新去观察跳转、字符串引用、函数调用，是不是变得更加合理了。不要只是手动去改几个函数的地址，因为这里的根本原因，是整体的映射关系出错了。

2、补全内存段的信息

如果固件会访问RAM、外设寄存器，或者其他的ROM区域，那就可以在IDA里面，把对应的段信息补充进去。比如代码放在Flash里面，变量放在RAM里面，外设在固定的寄存器区域。要是这些区域没有建立出来，IDA在看到相关地址的时候，就有可能没有办法形成清晰的引用，分析的体验就会差很多。

3、结合外部的资料去补全证据

map文件、链接脚本、启动代码、芯片的手册、烧录工具的配置，这些东西都可以帮着去判断映射关系。尤其是map文件，通常能从里面看到函数和段的链接地址，这比单纯去猜基址，要可靠得多。要是手头没有这些资料，那也可以从向量表、字符串的位置、函数调用的密度，还有已知的外设地址，去反着推出来。

总结

IDA Pro反编译bin文件时基址为什么重要，以及IDA Pro反编译bin文件时映射关系该怎么填，这当中的核心，是因为bin文件缺少了段表和加载的信息，IDA只能按照用户所提供的地址，去还原代码的关系。基址填错以后，跳转、交叉引用、函数的识别，还有F5生成的伪代码，都会受到牵累。在实际操作的时候，要先确认好处理器的架构，然后再根据芯片的地址映射、链接脚本、map文件，或者向量表，去填写加载的地址，导入以后，再通过入口点、引用关系，还有内存段，继续去做校验。映射关系填对了，bin文件的分析，才会有一个稳固的基础。