IDA使用笔记记录[长期笔记]

最新推荐文章于 2024-01-02 10:19:06 发布
最新推荐文章于 2024-01-02 10:19:06 发布
阅读量883 收藏 9
点赞数 1
分类专栏: 逆向工程 文章标签: IDA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37232329/article/details/109401581
版权
本文详细介绍了IDA Pro的高级使用技巧,包括转换单元、代码搜索、函数管理和调试辅助功能。通过掌握这些技巧,可以更高效地进行逆向工程和代码分析。内容涵盖ASCII转换、数据和代码操作、函数跳转、IDC脚本编写以及结构体管理等,对于编程和调试工作极具参考价值。
摘要由CSDN通过智能技术生成

a: 转成ASCII
d: 转成数据, 按一次是db,两次dw,三次dd
c: 转成代码
u: 编程未定义

G: 跳转指令, 跳转到指定地址
ALT+T: 搜索指令,搜索关键字
F5: 把汇编编程C语言, 想回到汇编直接选IDA View即可
N: 按下某个名字并且修改名字,全局有效

ESC: 返回上一个页面

F12: 显示代码的流程图

Shift+F2: IDC脚本窗口

Shift+F3: 弹出Functions窗口

Shift+F9: 弹出Struct窗口

Shift+- 是把IDA代码中的十六进制与十进制互换

Q: 显示操作步长, 比如movsx edx, [esp + 18h]就会变成movsx edx, dword ptr [esp + 18h]

K: 隐藏操作步长

Ctrl+K: 查看当前函数的栈

 按下Ctrl+K即可

进入在Structures栏里, 点击Edit选择添加结构体即可添加结构体
选择结构体名后按d后即可添加成员,再次按d几次与上面d操作一样
选择某一成员,按alt+q可以把该成员变成IDA内所有可识别的其他类型结构体, 这种方法在IDA View窗口内也可以使用
双击结构体名称即可 将其收缩成一行,点击改行选择Ctrl和+(小键盘)即可拓展开

按;可以写入注释, 但是这样会让其他地方跳转到此位置也会显式该注释
Shift+; 则没有上面那种困扰,仅仅是单纯的本行注释
选择函数名按;可以添加函数注释

交叉引用(即所有引用该函数的列表)

如果目标函数不在当前模块,如何找到该函数在哪里调用?

如果有多个对话框调用了多个OnInitDialog, 即可使用交叉引用获取调用该函数的列表:

选中函数名,View+Open subviews+Cross references, 或者右键选中List cross references to..

又或者直接Ctrl+X即可

IDC语法:

配置IDA默认编辑器: Options->General->Misc->Editor

Message输出函数(类似printf), Warning以及Fatal

变量: 全部auto类型(类似js里的var), 变量声明与复制必须在不同语句进行

语句: IDC不支持switch语句

如果反汇编窗口或者其他窗口不见了怎么调出来:

 让IDA显示机器码的方法:

 这样的效果如下图:

 如果想要IDA自动注释:

 想要重置IDA的GUI界面元素到其原来位置

 想跳转到对应的文件偏移:

 搜索功能:

1. Search->Next Code 移动光标到包含你所指定指令的下一个位置

2. Search->Text 在反汇编窗口中搜索一个指定字符串

3. Search->Sequence of Bytes 在16进制视图窗口中对特定字节序进行二进制搜索

 需要查看某个函数的所有交叉引用, 对数据也同样有效:

点击函数名后按下'X'键:

 函数无法识别的情况,按'P'键创建函数。

如果函数不是基于EBP的栈帧,这可能不是很容易理解。可以按下Alt+P。选择BP Based Frame然后指定4 Bytes for saved registers

工具栏可以显示高级模式,即有更多选项:

 

 结果入上,这里主要关注红框框出的交叉引用:

第一个选项会出现当前函数的流程图, 快捷键F12:

 第二个获取整个程序的调用图, 数量多的情况下有点凌乱:

 第三个显示当前函数被哪里调用了

 讲一个不易于理解的常量转换成易于理解的常量:

 

 如果有下面几条机器码:

mov eax, loc_410000
add ebx, eax 
mul ebx

 其中loc_410000被交叉引用。但实际上这只是一个数字罢了。可以点击它然后按下'O'键即可取消

如果某个标准的符号常量不显示。可能是符号表未加载。需要手动加载导入库:

一般mssdk和vc6win会被加载

 

设置数组结构:

在对应需要设置数据结构的函数内按下Ctrl+K就能查看该函数的所有堆栈元素。

 现在要把Buffer开始的512字节设置成一个数组。在起始地右击后选中Array

 

 将其数组大小设置成512个字节

 这样就成功设置了

IDA调试DLL时,如何手动确定载入起始位置,而非依靠ImageBase决定。

选中如下复选框代表手动载入。

 设定你要载入的位置后按下OK即可。
查找特定字符串:

如果我要查找一种简单xor加密,可是代码量太大该怎么办,可以直接利文本搜索来实现:

 查找所有xor出现过的地方, 很容易就发现一处可能的xor加密位置:

修改函数定义:

举一个例子, 我想修改这个函数的定义如何修改

 选中函数后按'Y'即可

选择入口点:

可能有一些程序有反调试功能,设立了tls回调, 普通的入口点无法查询

 按下Ctrl+E,选择对应的入口点即可

查找一个函数所有的call:

重新设定模块加载地址:

 

 

(完)

Kiopler
关注
专栏目录
IDA 学习笔记
03-22
IDA据说是个好东西,功能也很强大。但确实不易上手。学习一下,顺便做点笔记。从零开始吧!希望大家指正。
使用IDA查看二进制
最新发布
追寻梦想的青春
03-25 1197
IDA是一款可以查看二进制的汇编级别代码的工具,并且提供了图形的方式展示程序的执行流程,有时候可以用来定位汇编级别的代码崩溃问题。
iDA-开源
07-04
iDA 是一种 IDE(集成开发环境),它不仅限于一种语言,它可以与您听过的所有编程语言一起使用默认情况下(现在)它支持 Perl、Ruby、C#(自定义编译器)并且直到现在都支持
IDA基本使用
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-19 2万+
IDA基本使用,零基础,新手友好,重点使用摘要。ida文件加载,IDA桌面简介,交叉引用,IDA动态调试,IDA脚本
IDA显示机器码
子曰小玖的博客
05-23 5037
IDA入门【二】IDA数据显示窗口
小旺的博客
01-02 2094
这个选项使Strings窗口仅显示IDA自动创建或用户手动创建的已命名字符串数据项。在选中这个选项的同时禁用所有其他选项,IDA将不会自动扫描其他类型的字符串。
IDApro权威指南》个人学习笔记
10-11
IDApro权威指南》个人学习笔记是关于IDApro反汇编工具的使用指南,该指南涵盖了IDApro的基础功能、指令优化、数组、结构体、网络节点等方面的知识点。 基础功能强化 IDApro是一款功能强大的反汇编工具,它可以对...
安卓逆向学习笔记之Frida+ida trace分析非标准算法
03-15
总之,安卓逆向工程中的FridaIDA结合使用,能帮助我们有效地分析非标准算法。通过动态追踪与静态分析的互补,我们可以深入理解复杂的软件行为,这对于软件开发、安全审计和漏洞挖掘等工作至关重要。在实际操作中,...
IDA 零接触学习笔记
10-25
这篇“IDA零接触学习笔记”显然是为了初学者准备,旨在引领读者逐步熟悉和掌握IDA使用IDA的学习首先从基础功能开始,包括打开和加载可执行文件。在IDA中,你可以加载不同平台(如Windows、Linux、Mac OS等)的...
安卓逆向学习笔记ida trace分析被ollvm混淆的非标准算法.docx
03-18
安卓逆向学习笔记ida trace分析被ollvm混淆的非标准算法.docx
[从零开始的逆向学习] arct1cer加密与解密学习二 ida静态分析
hanpiao_的博客
04-24 635
用户可以使用ctrl+滚轮调整图形大小,使用空格键在图形视图和文本视图之间切换,或选择右键快捷菜单中 text view 切换到文本视图。将光标移到要创建函数的第一个字节上 edit - functions - create function 创建一个函数 (快捷键 P )ida会将数据转换为代码,以便分析函数结构 如果能找到函数结束部分 将生成新的函数名 如果无法确定函数结束部分或发现非法指令 操作将终止。输入窗口中列出了可执行文件调用的所有函数,双击函数ida将跳转到反汇编窗口的函数地址处。
IDA Pro 基础学习
hjjdebug的专栏
05-21 9894
IDA Pro 基础学习甲: IDA 的窗口IDA 的窗口可以通过view->open subview 中的菜单项来打开。 ctrl-1 是快捷键打开选择窗口。再选择要打开的窗口.窗口为我们提供信息表格整理,导航(双击),跳转,及搜索供我们找到感兴趣的东西。 跳转: 有一个菜单项search. 在jump 菜单下,有一堆快速跳转快捷键,简述几个。 - Ctrl-L: 跳转到名称,然后选择L
IDA使用之旅(二)工具及窗口的使用
热门推荐
chenyujing1234的专栏
07-21 2万+
转载请标明是引用于 http://blog.csdn.net/chenyujing1234  欢迎大家拍砖!   本系列内容是我根据“知其所以然论坛”博主录制的学习视频,做的笔记。 一、主要窗口 1、显示函数调用图表 显示函数调用图表:   2、显示当前函数的流程图       3、窗口管理。 可以打开自己无意关闭的窗口,可以增加查看的标签选项: 或者重设窗
使用IDA 分析高级数据结构
eqera的专栏
11-29 2万+
使用 IDA 反汇编时,一些数据和操作数的处理方式可能并不准确。IDA 允许我们手动去修 改这些数据的类型和定义,我们甚至可以使用类似高级语言的数据结构。 一个C 语言程序 为了介绍IDA 的数据分析处理功能,我们先看一个C 语言编写的使用特殊数据类型和结构 的小程序: #include #include // our structures // ==============
IDA 中对内存小端逆序的理解
沐一 · 林 的博客
02-09 2565
目录 大端顺序和小端顺序: 低字节和高字节:(左高右低) 小端顺序: 大端顺序: 小端变量以最小拆分单位逆序摆放: 那么我们扩展到 CTF 逆向中: 最后附上我常规测试代码: 大端顺序和小端顺序: 低字节和高字节:(左高右低) 在编程语言中,字符一般是占16位,8位为一字节,所以有高位字节和低位字节。 一个16进制数由1个字节组成,例如:A9。 高字节就是指 16 进制数的前 4位(权重高的 4位),如上例中的 A。 低字节就是指 16 进制数的后 4位(权重低的...
IDA 中怎么查看函数的调用关系
寒梅独自开
12-22 1万+
第一种: 我们再ida 中找到一个函数, 我们按 F5 查看伪代码,选中伪代码中的这个函数,右键点击 jump to xref... 或者 按 x 也是可以的,这里的意思就是查看交叉引用,也可以理解为查看调用关系。 第二种: 在汇编窗口中,找一个函数, 找到 view——> Open subviews ——> Function calls 点击 会打开一个调用 关系窗口 第三种: 在函数名上点击右键:Xrefs gra...
IDA工具各个功能总结
墨痕诉清风的博客
02-14 1万+
生成文件:保存后生成的文件 id0:二叉树数据库 id1:文件包含描述每个程序字节的标记 nam:包含IDA NAME窗口的数据库 til:本地数据库有关信息   导航带颜色   常用菜单 ESC键:后退键(避免在窗口标题栏使用,退出窗口)   绿色箭头为YES,红色箭头为NO,蓝色箭头为下一个立即执行的块,拖动线可以改变连接路径。恢复源图形,右键鼠标菜单,点击布局图表。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值