IDA Pro反汇编arm代码时怎么分辨模式 IDA Pro反汇编arm时跳转表该怎么看

IDA Pro在反汇编ARM代码时，应当怎样去分辨它的模式，还有在分析ARM的跳转表时，又该采用怎样的方法，这是处理固件、so库和嵌入式程序时经常遇见的问题。ARM代码里常常会同时存在ARM和Thumb两种模式，较新的程序则可能是AArch64架构。如果模式判断出现错误，IDA所显示的指令就会变得异常，函数的边界、交叉引用以及F5生成的伪代码，也都会跟着出现问题。跳转表的情况与此类似，一旦IDA没有正确识别，switch语句的分支就会断开，分析人员就很容易遗漏关键逻辑。

一、反汇编ARM代码时怎样分辨模式

分辨ARM代码模式的时候，不能只看文件名或者芯片平台。尤其是对于裸机固件和手动加载的bin文件，IDA并不一定能自动确认程序的入口地址和执行状态。较为可靠的做法，是先从程序的入口、函数的序言、调用指令和跳转目标这几个方面，综合起来进行判断。

1、先观察指令的形态

在反汇编窗口当中，先要观察那一部分指令是否成体系。ARM模式的指令，通常显得比较规整；Thumb模式的指令则更加紧凑；如果是Thumb-2，里面还会混合出现不同长度的指令。假如看到大量没有实际意义的指令、跳转的目标地址参差不齐，或者函数的开头不像是常规保存寄存器的结构，那就应当怀疑当前的模式被识别错了。

2、接着观察跳转目标的最低位

在ARM和Thumb两种模式互相切换的时候，跳转目标的最低位经常会带有状态信息。比如目标地址的最低位是1，通常就表示要进入Thumb状态，而真正要执行的地址，会按照对齐之后的地址来处理。遇到BX、BLX这一类指令的时候，要更多地关注寄存器里的目标地址是从哪里来的，而不能只看表面的地址数值。

3、结合函数的边界一起判断

假如IDA把一段正常的代码识别成了数据，或者把数据当成了代码，那么后续的分析就都会混乱。遇到这种情况，可以先从已知的入口、异常向量表、导出函数或者是调用引用这些地方着手，手动去修正函数的边界，然后再让IDA对附近的区域重新分析一遍。

二、反汇编ARM时跳转表该怎样分析

ARM当中的跳转表，经常出现在switch语句、状态机、命令分发和协议解析这些场合。IDA有时能够自动识别出switch的结构，但如果遇到编译器优化、混淆过的代码、手写的汇编，或者是表项形式比较特殊的情况，就需要人工去辅助判断了。

1、先找出间接跳转的位置

分析间接跳转的时候，需要先看清跳转之前的索引计算过程。一般都会有比较范围、计算偏移量、读取表项，然后再跳转到目标地址这样的步骤。不能只盯着最后一条跳转指令，前面的cmp、add、ldr、adr这些指令，往往才决定了case的数量和表的基址。

2、再看跳转表项的格式

跳转表里面，不一定存放的都是完整的目标地址，也有可能存放的是相对偏移、半字偏移，或者是需要再加上一个基址的数值。如果IDA把表项识别成了普通数据，就可以先观察这些数据是不是全都指向代码区域，然后再来判断它们到底应该按完整的字，还是半字，或者偏移量来处理。

3、核对每一个case的目标地址

跳转表被识别出来以后，还要去核对每一个目标地址，是不是都落在合理的代码块里面，是不是有共同的出口，以及是否存在默认的分支。假如有些目标地址跳转到了数据区、函数的中间，或者是完全无法到达的位置，那就需要回过头去，检查模式、基址、表项的宽度和索引的计算是不是有错误。

三、ARM模式和跳转表分析时容易忽略哪些方面

在ARM反汇编当中，模式和跳转表经常会互相影响。模式如果错了，跳转表的目标地址就会错；跳转表如果错了，控制流就会断开。特别是对于固件和加壳之后的so库，不能完全依赖自动分析的结果。

1、留意常量池

ARM代码的附近，经常会夹杂着常量池，里面可能存放着地址、字符串引用、查表数据，或者是跳转表。当看到函数中间有一段像是数据的内容时，不要立刻强制把它转换成代码，要先看一看有没有PC相对寻址在引用它。

2、不能只依赖F5伪代码

伪代码确实能帮助理解逻辑，但是它要依赖于前面的函数边界、模式和跳转表识别。如果switch没有识别好，伪代码就可能会缺少分支，甚至直接反编译失败。在遇到复杂函数的时候，先把汇编层面的控制流梳理清楚，再回过头来看F5，会更加稳妥。

3、必要的时候手动补充跳转表

假如IDA没有自动识别出跳转表，就可以根据索引范围、表的地址、表项的数量和默认分支，手动把switch的信息补充完整。在补充之前，最好先在图形视图里面确认控制流的结构，以避免把错误的分支固定下来。

总结

IDA Pro在反汇编ARM代码时怎样分辨模式，还有ARM跳转表该怎样分析，关键就在于先把ARM、Thumb或是AArch64的模式判断准确，然后再去分析间接跳转和表项的结构。分辨模式，需要观察指令形态、跳转的最低位和函数的边界；分析跳转表，则需要留意索引计算、表的基址、表项的格式和case的目标地址。把这些基础信息理顺之后，IDA当中的交叉引用、控制流和伪代码，才会更加可靠。