插件开发

UPX加壳工具能够极大的压缩可执行文件，对于可执行文件的网络传播，确实效果不错。

。

介绍了IDA反汇编原理分为，线性扫描反汇编和递归下降反汇编。比较了两者的优点和缺点。线性扫描反汇编算法采用一种非常简单的方法来确定需要反汇编的指令的位置：一条指令结束、另一条指令开始的地方。因此，确定起始位置最为困难。常用的解决办法是，假设程序中标注为代码（通常由程序文件的头部指定）的节所包含的全部是机器语言指令。反汇编从一个代码段的第一个字节开始，以线性模式扫描整个代码段，逐条反汇编每条指令，直到完成整个代码段。线性扫描算法的主要优点，在于它能够完全覆盖程序的所有代码段。

ida为用户提供了一个很完备的帮助系统，可以使用F1快捷键打开帮助系统，其中点击“index of idc functions”可以看到对应一些idc的函数列表。逆向分析得到函数功能之后，需要对指定函数地址进行命名，如果多人协同工作，就需要在IDA里对函数就行批量命名，这时就必须要用到IDA的idc脚本。打开Ida，File–>Script file,选择刚才生成的ida.idc文件，即可批量重命名函数了。idc命令行（菜单栏file->idc command）该脚本函数将参数一地址处的函数命名为参数二。

我们看到，当对象结构简单、体积小时，函数间的对象传递直接使用eax和edx保存对象中的内容。当对象体积过大，结构复杂时，寄存器就明显不够用了，于是编译器在开发人员不知情的情况下，偷偷地给函数加上一个参数，将其作为返回值。传递参数对象时，存在一次复制过程，简单的对象直接按成员顺序push传参，复杂的对象则使用重复前缀的串操作指令rep movs，其edi被设置为栈顶。在访问对象成员时，其寻址方式颇为特别，使用的是寄存器相对间接访问方式。这种访问方式可以作为识别对象的必要条件，但是还需考察成员类型。