IDA Pro 快速入門

IDA Pro 兩種模式

兩種模式分別為

• 圖形模式
• 文字模式

可以通過空格鍵進行模式切換

注意：需要在左側函式視窗選擇函式後才能切換圖形模式

圖形模式

顧名思義，以圖形的結構表現邏輯關係

箭頭的各種顏色含義：

• 紅色：一個條件跳轉沒有被採用
• 綠色：一個條件跳轉被採用
• 藍色：一個無條件跳轉被採用

文字模式

傳統的檢視模式，用來檢視二進位制資料區

左側部分是箭頭視窗

• 虛線：條件跳轉
• 實線：無條件跳轉

各種分析視窗

IDA pro 載入目標檔案後會出現各種各樣類似瀏覽器的視窗頁面，這些視窗可以通過View-subview選擇顯示。

• 函式視窗：列舉可執行檔案中的所有函式（預設在左側），類似於一個表格，有很多屬性供排序（如函式的長度，可以在一方面說明函式的重要性），還有一些標誌（F/L/S）等，其中L指庫函式，一般情況下可以跳過L函式，方便分析。
• 名字視窗：列舉每個地址的名字（函式、命名程式碼、命名資料、字串）
• 字串視窗：顯示所有字串（預設顯示長度大於5個字元的ASCII字串，可以右鍵設定）
• 匯入表視窗：所有匯入函式
• 匯出表視窗：所有匯出函式（分析DLL檔案時很有用）
• 結構視窗：列舉活躍的資料結構的佈局（不太懂）

返回預設，防止迷路

Windows-Reset Desktop

簡單恢復GUI設定，即回到預設檢視，但不會更改任何完成的任務或者反彙編工作

可以通過Windows-Save desktop儲存這個新的檢視。（形成大佬的個人風格

交叉引用，連結

交叉引用：可以雙擊目標在不同視窗間跳轉到細節

常見可以雙擊跳轉的目標：

• 函式 如：printf、sub_4010A0
• offset偏移
• 本地連結 如：loc_40107E
• 字串：跳轉到字串在記憶體中被定義的位置

跳轉地址

快捷鍵G

導航欄 - 線性檢視FLIRT

淺藍色：被FLIRT識別的庫程式碼

紅色：編譯器生成的程式碼

深藍色：使用者編寫的程式碼

匯入的資料：粉紅色

已定義的資料：灰色

未定義的資料：棕色

FLIRT不完美，尤其老版本，可能不能正確識別和標記所有的庫程式碼

萬能的搜尋

Search

可以在搜尋結果中雙擊跳轉至目標位置，非常方便