IDA使用之旅(二)工具及窗口的使用

最新推荐文章于 2024-05-28 07:47:53 发布
最新推荐文章于 2024-05-28 07:47:53 发布
阅读量2.6w 收藏 11
点赞数 4
分类专栏: window xp 驱动(USB)/FireFox插件/汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenyujing1234/article/details/7766639
版权

转载请标明是引用于 http://blog.csdn.net/chenyujing1234 

欢迎大家拍砖!

 

本系列内容是我根据“知其所以然论坛”博主录制的学习视频,做的笔记。

一、主要窗口

1、显示函数调用图表

显示函数调用图表:

 

2、显示当前函数的流程图

 

 

 

3、窗口管理。

可以打开自己无意关闭的窗口,可以增加查看的标签选项:

或者重设窗口: 窗口->重设窗口

或者对好的窗口布局进行保存:窗口->保存

 

4、查看

选项->常规

5、数据窗口

包括String和Names

6、交叉引用

在出现XREF 的地方就是有交叉引用(如下图);

而在XREF后面的向上箭头,双击它可以跳到它跳转的地方(如下图);

 

 7、IDA不支持撤销功能。

8、

Ctrl+滚轮实现浏览的放大和缩小。

 9、看懂图形概况图

如下图所示,绿色箭头表jz short loc_1305B指令成立时,跳到下面;

红色的方向箭头表示不成立时的执行方向;(红色其实是没有被执行的。)

蓝色是指指向下一个立即执行块。

(注意跳转后的地址也是loc_1305B,说明上一块的结束地址就是下一块的开始地址)。

 

 

10、看懂代码中的地址

 

11、添加注释

Enter+冒号 可以添加注释:

 

 

12、名字窗口中表示的类别

F:可能是导入函数,也可能是自己写的函数;

I:导入函数;(I 类型的也可能是自己写的),eg:


A:字符串;

L:库函数;

D:全局的命令代码;

 

13、函数中出现的标识含义

Sub_XXXXXX  

子程序
loc_xxxxxx

地址
byte_xxxxxx

8位数据
word_xxxxxx

16位数据
dword_xxxxxx
unk_xxxxxx

未知的

二、次要窗口

1、

 IDA View-A窗口与 Hex View-A窗口,一个是主要窗口一个是次要窗口,

它们其实是同步的,即选中其中一个窗口另一窗口位置也会发生变化。

设置上述功能是在此Hex View-A中右击:

 

2、导出窗口

里面列出来的函数就是此文件的入口点。它是导出给用户使用的接口,通常是用户的共享库。

双击其中函数,会跳到反编译窗口的中位置。

可以对这里的函数设置断点:

3、导入函数

从系统中导入的函数。如下图表DbgPrint从ntoskrnl导出的。

如果双击函数,可以看到它调用到了反编译窗口中的idata部分:

由于IDA是静态的工具,而ntoskrnl是静态库,所以能相入;如果遇到从DLL导入的名字,可能会出现乱码。

 -------------------------------

注意:Exports窗口只能列出此EXE或DLL通过.lib链接到的库的接口:


4、函数窗口

窗口中的函数的属性中的R,表采用EBP寄存器。我们以DbgPrint中的R属性为例,双击它跑到反汇编的地方是有 ebp的。

5、结构体窗口

双击可以查看到结构的成员。

 

6、枚举窗口

类似于结构体类型。

 

 

三、其它窗口

1、Segmentation

 

2、标签

因为我们的驱动是DDK编译的,没识别也是正常的。

IDA通过签名库来支持代码块,签名是用于识别编译器生成的代码的启动顺序,以确定结构能给二进制编译器;

也可以将代码规划,由编译器的插件插入已知库,在IDA识别你认识的库时,会更多地将精力放在IDA无法识别的库。

3、类型库

IDA可以从头文件中了解到结构的大小和布局,所有的信息都收集在til文件

如果要让IDA加入其他库和头文件,那么在Type Libraries中按"Insert"键来加入。

4、函数调用窗口

打开函数调用窗口时,IDA会显示光标所在的函数的邻近,且生成一结图。

红色为被调用的函数。

5、问题窗口

这个窗口也少用到。

显示在二进制遇到的一些困难,虽然反汇编最简单的二进制文件也是困难的。

如上图所示表示:dd 6Dh dup(0) 这条指令,IDA它不知道,需要你来分析,它发生的地址是INIT:0001404C。

 

 

Jackchenyj
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
IDA使用指南
qq_53338931的博客
11-05 900
汇编语言
给自己的ida使用ida使用
01-19
本篇文章将深入探讨IDA使用技巧和功能,帮助你更好地掌握这款强大的工具。 1. IDA界面与基本操作: IDA的界面分为几个主要部分:内存浏览器、反汇编窗口、图形流程图、结构窗口和交叉引用。初次使用时,了解这些...
IDA详细使用教程,适合逆向新手的实验报告
最新发布
qq_53058639的博客
05-28 1281
IDA详细使用教程,原创适合逆向新手的实验报告,关于快捷键,界面展示等的介绍,推荐大家结合另一篇ida实操,文章食用。切实感受ida的魅力与强大。一、软件介绍IDA全称是交互式反汇编器专业版(Interactive Disassembler Professional),人们其简称为IDAIDA pro是业界最成熟、先进的反汇编工具之一,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器!IDA
IDA pro使用笔记之数据显示窗口
qq_36327491的博客
08-20 1223
#反汇编窗口:图形视图和列表视图;在反汇编窗口使用空格键切换 options->General->use graph view by default更改视图 #图形视图:将一个函数分解为许多基本块,显示该函数由一个块到另一个块的控制流程。 (基本块是一个不包含分支,从头执行到尾的最大指令序列。因此,每一个基本块都有唯一的入口点(块中的第一条指令)和退出点(块中的最后一条指令)。基本块...
【Android 逆向】IDA 工具使用 ( 函数窗口 Function window | 创建引用图 Xrefs graph to | 创建调用图 Xrefs graph from )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-13 3344
一、函数窗口 Function window、 、创建引用图 Xrefs graph to、 三、创建调用图 Xrefs graph from、
知其所以然技术论坛DELPHI资源下载
lukarl592的专栏
03-03 757
初级篇(9节课):DELPHI外挂教程下载1(知其所以然技术论坛)DELPHI外挂教程下载2(知其所以然技术论坛)DELPHI外挂教程下载3(知其所以然技术论坛)
知其所以然技术论坛资源下载
ljwlove_zj的专栏
03-02 1339
VC++外挂教程1
IDA pro逆向工具使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
IDA的通用解压插件使用和原理.docx
03-26
逆向工程在软件充分利用工程技术就可以对现有系统进行改造,减少开发强度,提高软件开发效率,降低项目开发的经济成本,提高经济效益,并在一定...本着学习的精神,参考IDA.Pro通用解压插件使用和原理教程练习.......
IDA使用教程
03-16
本教程将引导你了解IDA的基础操作和核心功能,助你在短时间内掌握这款工具。 1. **IDA的基本界面** IDA提供了一个用户友好的图形界面,包括idaq.exe主程序,以及IDA的四个主要视图:内存映射(Memory Map)、反...
05.IDA Pro反汇编工具初识及逆向工程解密实战1
08-03
Windows PE 第一章开发环境和基本工具使用 - TK13大神160个CrackMe001 - CSDN鬼手大神160个Crackme030之一元一次方程
IDA Pro使用技巧
工作学习笔记
11-28 974
Python使用记录
如何使用FindFunc在IDA Pro中寻找包含指定代码模式的函数代码
ALLEN'Blog
03-02 966
Pro插件,可以帮助广大研究人员轻松查找包含了特定程序集、代码字节模式、特定命名、字符串或符合其他各种约束条件的代码函数。FindFunc是一个IDA Pro插件,基于Python开发,而且不需要安装其他的依赖组件包。FindFunc的主要功能是让用户指定IDA Pro中的代码函数必须满足的一组“规则”或约束。FindFunc随后将查找并列出满足所有规则的所有函数。接下来,将项目中的findfuncmain.py文件拷贝到IDA Pro的插件目录中即可。5、以简单ASCII格式将规则存储/加载到文件;
IDA基本使用
热门推荐
z786849296的博客
05-04 2万+
1.可以被IDA解析的文件包括.exe、.so、.o等格式。 ——打开方式:1.选择文件(代码如下),点ok。 (十进制转进制,八进制代码) `#include<stdio.h> #include<math.h> int main() {int a,b,n; while(scanf("%d&a
工具使用-IDA从入门到理解
07-11 4106
启动界面介绍: 1 2 3 4 NEW:打开IDA同时弹出对话框选择要打开的文件 Go:单独打开ida,打开界面将文件拖入 Previous,或者下面的列表项:快速打开之前的的文件 这里选择Go键,打开以后 这里选择Go键,打开以后 把我们要分析的文件拖到ida即可 这里按我们的默认选项点击OK即可。 选择中可能需要理解的为: 1 2 Manual Load:基地址重定向,..
IDA逆向分析的方法
traceme2011的专栏
03-03 1万+
一、PE文件的分析流程。 1. 对于DLL文件,先查看它的导出表,确定一些功能函数。 2. 查看导出表,看调用了那些类型的API。比如可能有如下几类 (1)      文件操作、创建、写、读(2)      注册表操作,读、写(3)      提权相关函数(Privage)(4)      进线程函数 然后根据这写不同类型的导出函数,用X快捷键查看有哪些地方引用了,可以分析出一些sub_0xxxx...
IDA使用说明
weixin_43665653的博客
10-03 1619
目录功能下载安装使用界面 功能 IDA是一款反汇编静态分析工具,将程序文件拖到IDA中,可以看到汇编代码。 下载 https://hex-rays.com/products/ida/support/download/ 安装 默认next,可以自己选择安装路径 使用 运行软件以后,通过vs编写一个程序,生成可执行文件,在IDA中打开,文件拖入之后,会有一些提示选项,先默认选择yes、ok,一开始也看不懂~ 整体的界面显示如下,下面自上向下逐个介绍 界面 最上边是一些常规的菜单栏和工具栏 下边这个长长的有
IDA---未识别函数处理
xuqi7
12-28 2604
有时候会遇到IDA无法自动识别某个函数,地址表现为红色, 如下: 选中这部分代码,进行如下操作: Edit -> Functions -> Create function 然后就能愉快地F5了 ...
IDA反汇编工具使用说明
06-09
IDA是一款反汇编工具,可以将机器码反汇编成汇编代码,方便对进制文件进行分析和调试。以下是IDA使用说明: 1. 打开IDA并导入进制文件:在IDA界面中选择File->Open,选择需要反汇编的进制文件,选择合适的架构和文件类型进行导入。 2. 分析进制文件:导入文件后,IDA会自动对文件进行分析,生成汇编代码和函数列表等信息。可以通过左侧的窗口查看反汇编代码,右侧的窗口中查看函数列表和全局变量等信息。 3. 查看反汇编代码:在左侧的窗口中选择需要查看的函数或代码段,可以查看该部分的反汇编代码。可以通过右键菜单选择反汇编风格、字体大小等选项进行设置。 4. 修改反汇编代码:可以通过双击汇编代码进行修改,修改后可以选择保存或者撤销修改。需要注意的是,IDA只是反汇编工具,修改汇编代码并不能直接影响进制文件。 5. 调试程序:可以通过IDA内置的调试器进行程序调试,选择Debugger->Process Options进行设置,然后选择Debugger->Run进行启动调试。 6. 插件扩展功能:IDA支持插件扩展功能,可以通过安装插件来增加IDA的功能。可以在IDA的官网上下载和安装插件。 以上是IDA的基本使用说明,希望能对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值