IDA Pro f5报错后伪代码打不开怎么办 IDA Pro f5报错时常见依赖问题有哪些

IDA Pro在按下F5以后如果报了错，伪代码的窗口就打不开了，这种情况在逆向分析的时候是经常能遇到的。F5这个快捷键，它实际上做的事情就是去调用Hex-Rays反编译器，把当前这个函数给反编译成一段看起来有点像C语言的伪代码，而IDA里面的那个伪代码窗口，也正好就是拿来显示这种类似C代码的结果用的。不过这个功能并不是随便停在哪个位置上、随便碰到什么指令、随便打开什么二进制文件，都能够顺顺利利地把伪代码生成出来。所以在遇到F5报错的时候，先不要着急去把整个IDA软件都重新装一遍，因为有很多时候，问题其实是出在函数的边界没有划分好、处理器的架构没有匹配上、插件之间有冲突、类型的信息没有补齐，或者是程序本身所依赖的那些库文件没有被处理好。

一、IDA Pro f5报错后伪代码打不开怎么办

在F5报错之后，首先要判断一下，到底是整个反编译器都不能用了，还是只有当前这一个函数打不开伪代码。如果试着去按F5，发现别的函数都能够正常地显示出伪代码，那就说明问题通常是出在当前这个函数的分析上面；反过来，要是所有的函数全都打不开，那么原因就更有可能是反编译的插件、软件的授权、处理器架构，或者整个安装的环境出了问题。

1、先确认当前位置到底是不是一个函数

在按下F5之前，要去确认一下光标是不是停留在一个有效的函数里面，而不是停在数据区、跳转表、填充字节，或者是还没有被识别成代码的那些区域当中。

可以先去检查一下【函数边界】，如果有必要的话，就手动去创建一个函数，或者重新把代码的区域定义一下。假如IDA把一段本来是代码的地方错误地识别成了数据，又或者一个函数的开始和结束位置被截断了，那么反编译器拿到的输入信息就是不完整的，伪代码自然也就没有办法正常打开。

2、查看一下报错的内容和输出窗口

当F5失败的时候，一方面要去看一看弹出来的那个错误提示，另一方面也要去【Output窗口】里面找一找，看看有没有更加具体的描述信息。

Hex-Rays的失败说明里曾经提到过，有些失败是因为反编译器没有办法把指定地址上的那些指令，转换成它内部使用的microcode。碰到这一类的问题，通常就需要回到汇编代码的层面上，去检查一下那些指令是不是被正确地识别出来了，看看有没有存在混淆、坏掉的指令，或者是有跳转指令跳到了某条指令的中间字节这样的情况。

3、尝试把当前的函数重新分析一遍

如果发现函数的边界、栈里的变量，或者是调用约定这些东西明显都不对的话，那就可以先把函数的范围调整一下，把栈指针修正过来，把参数的类型也设置好，然后再重新按一次F5试一试。伪代码的窗口，有时候也可以先把它关掉，然后再重新打开，或者在伪代码窗口里面用刷新的功能，甚至可以把整个数据库重新打开，来让结果得到更新；Hex-Rays里面也有关于怎样刷新伪代码的说明。

二、IDA Pro f5报错时常见依赖问题有哪些

F5报错并不一定全是因为反编译器本身坏掉了，很多问题是出在它所依赖的那些信息不够完整上面。IDA在做静态分析的时候，需要依靠处理器类型、函数的边界、调用约定、导入表、类型库，还有符号信息这些东西，这些信息缺得越多，伪代码就越容易变得混乱。

1、反编译器插件或者授权不匹配

不一样的处理器架构，是需要用不一样的Hex-Rays反编译器来对应的，比如x86、x64、ARM这些都是分开的。如果打开的样本是一个64位的程序，但电脑上只装了另外一个架构的反编译器，那按下F5就很有可能生成不了伪代码。在IDA的版本升级了以后，也要去确认一下插件和这个新版的IDA是不是能够匹配，特别是有些人的电脑里面同时装了好几套IDA，这就比较容易把插件给加载错了。

2、导入表和类型信息缺失

如果一个程序被加了壳，导致它的导入表坏掉了，或者有大量的API是在运行的时候才被动态地解析出来的，那么IDA就可能识别不出这些函数的参数和返回值。在这种时候，伪代码倒也不是一定就完全打不开，但是它看起来会非常难看，严重的时候也是会影响局部反编译的。

可以试着去补充【类型库】、导入的符号、函数的原型，还有结构体的一些定义，让反编译器更容易把逻辑还原出来。

3、函数调用约定或者栈分析出错

调用约定、参数的个数、返回值的类型、栈的平衡，如果这几样东西搞错了，伪代码里面就会出现一大堆奇奇怪怪的变量，甚至直接就导致F5失败。特别是那些手写的汇编代码、驱动代码、异常处理的代码、被虚拟机保护起来的代码，还有经过编译器很强优化的代码，这些地方更容易让栈分析出问题。碰到这种情况，就要先在汇编视图里面，把调用的关系和栈的变化看顺了，然后回头再去调整函数的类型。

三、F5报错后怎样减少反复卡住

F5这个东西，它只是用来帮助理解代码的一个辅助手段，不应该把它当成看代码的唯一切入点。在伪代码打不开的时候，先回到反汇编的那个层面，把最基础的信息给修好了，然后再回过头来按F5。很多时候并不是反编译器本身不行，而是前面的那些识别基础不够干净。

1、先找一些小的函数来验证环境

可以先去挑几个简单的函数，按一下F5测试一下。如果这些简单函数都能够正常地生成伪代码，那就说明反编译器的大环境基本上是没有问题的，当前这个报错，多半是因为目标函数本身太复杂了。要是连所有的简单函数全都失败，那就要优先去检查插件、授权、架构，还有安装的路径这些方面了。

2、先把关键的分析信息修复好

对于那些复杂的函数，可以先去处理函数边界、跳转表、字符串的引用、导入的函数，还有结构体的字段。不要一上来就非要去强行看伪代码，先把IDA能够识别出来的那些信息给补齐了，后面再生成的伪代码，就会稳定很多。

3、如果碰到混淆代码，要降低预期

加了壳、把控制流压平、使用了虚拟化保护、或者用异常流进行了混淆，这些手段都会影响到F5生成的结果。在这种时候，可以先通过动态调试去确认一下程序真正会执行的那条路径，然后再回到静态分析里面，把关键的分支给标注出来。伪代码打不开，并不代表这个程序就完全不能分析了，只不过是分析的时候，需要更多地依赖反汇编、调试，还有手工去整理信息而已。

总结

IDA Pro f5报错后伪代码打不开怎么办，还有IDA Pro f5报错时常见依赖问题有哪些，这里面最要紧的，就是先把问题的范围判断清楚，然后再把反编译需要用到的基础信息给补齐。如果只是当前的函数打不开，那就要重点去检查函数边界、坏的指令、栈的分析，还有调用约定；要是所有的函数都打不开，那就优先去排查反编译器插件、授权，还有架构是不是能够匹配起来。把类型、导入表、符号和函数的结构都处理清楚了以后，再按下F5去生成伪代码，那时候成功的概率就会高出不少，可读性也会比原来更好。