IDA使用指南
IDA Pro基本用法
IDA Pro 通常会提供 ida.exe
与 ida64.exe
两个可执行程序,分别对应于逆向 32
位与 64
位程序。当我们需要使用 IDA Pro 分析某一可执行程序二进制文件时,我们需要根据程序指令集长度的不同选择使用不同的 ida
。
最简单的使用方式是将待逆向的二进制可执行文件直接拖放到 IDA 上,IDA 会自动识别文件类型,这一步通常不需要做改动,直接点击 OK 即可
接下来我们就会看到这样一个界面:
Function Windows
:IDA 所识别出来的函数列表,通过该目录可以直接跳转到对应函数IDA-View
:以汇编形式呈现的由 IDA 进行反编译所得的单个函数结果,默认是以由基本块构成的控制流图的形式进行展示,也可以通过空格
键切换到内存布局中的原始汇编代码Hex View
: 二进制文件的原始数据视图Structures
:由 IDA 所识别出来的程序中可能存在的结构体信息Enums
:由 IDA 所识别出来的程序中可能存在的枚举信息Imports
: 该二进制文件运行时可能需要从外部导入的符号Exports
: 该二进制文件可以被导出到外部的符号
函数反编译
除了反汇编以外,IDA 也支持将汇编代码反编译为 C/C++ 形式的源代码,我们只需要在待反编译的函数位置按下 F5
即可获得反编译后的程序代码:
有的时候 IDA 对于函数范围的识别可能会有一定错误,从而导致反编译结果出现偏差,此时我们可以在 IDA-View
窗口中的函数开头按下 alt+p
重新定义函数范围,或是先按下 u
取消原有定义后再框选函数范围后重新按下 p
进行定义:
有的时候因为代码混淆等原因导致 IDA 无法建立函数:
当我们完成对函数识别的修复之后,我们可以在函数开头按下 p
让 IDA 重新自动识别函数,或是框选属于该函数的汇编代码之后再按下 p
让 IDA 重新自动识别函数:
评论
评论插件加载失败
正在加载评论插件