1. ida是最好用的逆向分析工具

2.问题

如果你在使用IDA分析时遇到大量的结构体指针偏移形式的变量，肯定想根据自己的分析重命名结构体各项。

3.定义结构体

这是需要先找到结构体初始化的地方

这里记录了每一项的偏移量，记录了结构体总大小Ox110uLL。

我们要根据这个结构体初始化函数来定义该结构体

在IDA中打开Structures，快捷键是shifr+ F9 ,然后按insert键，进行插入。

在ends 后按d键，添加相应的成员，然后选中成员名，按N进行修改，选中类型，按d 进行更改类型

00000000 DES_sturct      struc ; (sizeof=0x110, mappedto_96)
00000000 android_refbase0 DCD ?
00000004 field_4         DCB ?
00000005                 DCB ? ; undefined
00000006                 DCB ? ; undefined
00000007                 DCB ? ; undefined
00000008 item8           DCQ ?
00000010 item16          DCQ ?
00000018 item24          DCQ ?
00000020 item32          DCD ?
.......
000000E4 field_E4        DCQ ?
000000EC uuid            DCQ ?
000000F4 item244         DCQ ?
000000FC cipher          DCQ ?
00000104 nextitemofcipher DCQ ?
0000010C field_10C       DCD ?
00000110 DES_sturct      ends    

注意：

1.在定义结构体过程中要检查偏移量。比如 cipher是

*(_QWORD *)(v2 + 252) = 0LL; 

2.那么自己定义的结构体，它的位置就应该在 000000FC（16进制的252）。

定义结束后要检查总大小“ sizeof=0x110”。

4. 使自己定义的结构体和代码变量关联生效

在代码窗口找到相应的变量，右键选择Convert to struct ，然后选择刚刚你定义的结构体

此时，结构体初始化的地方显示为：

  v2 = (DES_sturct *)struct_qword_331A0;if ( !struct_qword_331A0 ){v2 = (DES_sturct *)operator new(0x110uLL);android::RefBase::RefBase((android::RefBase *)v2);v2->item48 = 1;v2->item74 = 48;v2->item214 = 2;v2->item215 = 2;v2->item16 = 0LL;v2->nextitemofcipher = 0LL; 
......v2->cipher = 0LL;                         
......android::RefBase::incStrong((android::RefBase *)v2, &struct_qword_331A0);if ( struct_qword_331A0 )android::RefBase::decStrong((android::RefBase *)struct_qword_331A0, &struct_qword_331A0);struct_qword_331A0 = (__int64)v2;}

使用结构体变量的地方显示：

由

    v23 = a1 + 252;

改变为

    v23 = &a1->cipher;

 我们的目的就这样达到了。