逆向學習之IDA簡介
阿新 • • 發佈:2021-08-23
逆向學習之IDA簡介
IDA是Windwos下眾多偵錯程式工具中頗受歡迎的一種。IDA Pro首先是一個反彙編器,可以顯示二進位制會變嗎(可執行檔案或DLL(Dynamic Link Library),動態連結庫),它提供的某些高階功能使我們更容易理解彙編程式碼。其次,它又是一個偵錯程式,使用者可以逐條除錯二進位制檔案中的指令,從而確定正在執行哪條指令,以及執行的順序等。
IDA PRO是一款互動式反編譯工具,功能強大。最主要的特性是互動和多處理器。IDA支援的檔案型別豐富,除了常見的PE格式,還支援Windows,DOS,Unix,Mac等平臺檔案格式。
一、開啟檔案,關閉檔案
開啟檔案
關閉程式
推薦使用第二種儲存方式,如果不想儲存,選擇最後一個選項
二、視窗介紹:圖形 文字 其他視窗介紹
| 導航條 | 意義 |
|---|---|
| 藍色 | 表示常規的指令函式 |
| 黑色 | 節與節之間的間隙 |
| 銀白色 | 資料內容 |
| 粉色 | 表示外部匯入符號 |
| 暗黃色 | 表示ida未識別的內容 |
| IDA主介面 | 意義 |
| IDA View | 三種反彙編檢視:文字檢視、圖表檢視、路徑檢視 |
| Hex View | 十六進位制視窗 |
| Imports | 匯入函式視窗 |
| Struceures | 結構體視窗 |
| Exports | 匯出函式視窗 |
| Enums | 列舉視窗 |
| Strings |
三、常用快捷鍵
| 快捷鍵 | 功能說明 |
|---|---|
| Enter | 跟進函式實現,檢視標號對應的地址 |
| 返回跟進處,返回上一個操作地址 | |
| A | 解釋游標處的地址為一個字串的首地址 |
| B | 十六進位制與二進位制數轉換 |
| C | 解釋游標處的地址為一條指令/C-->程式碼/D-->資料/A-->ascii字串/U-->解析成未定義的內容 |
| D | 解釋游標處的地址為資料,每按一次將會轉換這個地址的資料長度 |
| G | 快速查詢對應地址 |
| H | 十六進位制與十進位制數轉換 |
| K | 將資料解釋為棧變數 |
| : | 添加註釋 |
| M | 解釋為列舉成員 |
| N | 重新命名 |
| O | 解釋地址為資料段偏移量,用於字串標號 |
| T | 解釋資料為一個結構體成員 |
| X | 轉換檢視到交叉參考模式 |
| Shift + F9 | 新增結構體 |
| 空格 | 切換文字檢視與圖表檢視 |
| ALT + M | 新增標籤 |
| CTRL + M | 檢視標籤 |
| CTRL + S | 檢視段的資訊 |
| 冒號 | 常規註釋 |
| CTRL + F12 | 函式呼叫圖 |
| Ctrl + F9 | 匯入c標頭檔案 |
| F5 | 檢視虛擬碼 |
| Alt+T | 搜尋文字 |
| Alt+B | 搜尋十六進位制 |
| ctrl+shift+w | 拍攝IDA快照 |
| u | undefine,取消定義函式、程式碼、資料的定義 |
| view–>open subviews | 可以恢復你無意中關閉的資料顯示視窗 |
| windows–>reset desktop | 可以恢復初始ida佈局 |
| option–>font | option–>font |
| option–>general->Auto comments | 自動新增反彙編註釋 |