第五章
1.加载可执行文件。可以选择加载方式。 使用二进制文件进行反汇编等等。因为恶意代码有时
会带有shellcode,其他数据,加密参数,甚至在合法的PE文件中带有可执行文件,并且包含这
些附加数据的恶意代码在Windows上运行或被加载到IDA Pro时,它并不会被加载到内存。
2.选择合适的反汇编窗口模式
<1>图形模式,图形模式更容易看清流程,对于每一个跳转比较清除
<2>文本模式,是传统的视图模式,并且必须使用它查看一个二进制的数据区。
对分析有用的窗口
函数窗口 列举可执行文件中的所有函数,并显示每个函数的长度。 L指明是库函数,
名字窗口 列举每个地址的名字,函数,命名代码,命名数据和字符串
字符串窗口 显示所有的字符串。默认只显示长度超过5个字符的ASCII字符,可以修改属性
导入表窗口 列举一个文件所有的导入函数
导出表窗口 列举一个文件的所有导出函数。分析dll时这个窗口很有用。
结构窗口 列举所有活跃数据结构的布局。这个窗口也提供用自己创建的数据结构作为内存布局模板的能力
3.搜索
从顶部的菜单选择搜索
search->Next Code ,移动光标到包含你所指定的指令的下一个位置。
search->Text,在整个反汇编窗口中搜索一个指定的字符串。
search->sequence of bytes,在十六进制视图窗口中对一个特定字节序列执行二进制搜索。
4.使用交叉引用
交叉引用,在IDA Pro中被成为xref,可以告诉你一个函数在何处被调用,或者一个字符串在何处被使用,
如果你识别了一个有用的函数,并且想要知道它在被调用时用了那些参数,你可以使用一个交叉引用,
来快速浏览这些参数被放在栈上的什么位置。基于交叉引用关系也可以生成有趣的图形。
代码交叉引用
数据交叉引用
5.分析函数
给定已经分析的函数,变量有意义的变量名字。
6.使用图形工作。
7.增强反汇编。
IDA Pro允许修改它的反汇编。 IDA Pro没有撤销特性,所以做修改时要当心。
<1>重命名位置
<2>注释
<3>格式化操作数。 例如62h可以修改为八进制的 142o,二进制1100010b或者ASCII字符b。
<4>使用命名的常量
<5>重新定义代码和数据
8.使用插件扩展IDA
课后作业
实验软件:IDA Pro
只用IDA pro分析在文件lab05-01.dll中发现的恶意代码。这个实验的目的是给你一个使用ida pr