IDA官网发布的每周技巧7----IDA命令行选项

最新推荐文章于 2023-03-14 21:12:13 发布
最新推荐文章于 2023-03-14 21:12:13 发布
阅读量1.5k 收藏 2
点赞数 2
分类专栏: IDA官网发布的每周技巧 文章标签: IDA 逆向
原文链接:https://hex-rays.com/blog/igor-tip-of-the-week-07-ida-command-line-options-cheatsheet/
版权

hex-rays官方发布了一套《Igor的IDA每周技巧》系列文章,内容不错,故进行跟踪翻译,期望对大家有所帮助。

第七篇原文:Igor’s tip of the week #07: IDA command-line options cheatsheet

大多数用户通常都是单独使用IDA,并且都是使用用户界面来配置各种选项。其实可以通过命令行来给IDA传递一些参数,这会使一些配置过程自动完成,不再需要与用户交互。

Tips:下面例子中的ida可以被替换,要使用64位程序替换为ida64,要使用控制台UI替换为idat(idat64)。

IDA打开文件的简单方式

ida <filename>

<filename>可以是你想分析的一个新文件,也可以是一个现有的数据库(idb/i64)。这个用法和在界面中使用File->Open打开一个文件,或者将一个文件拖到IDA图标上的效果是一样的,你还是需要人工配置文件加载对话框等IDA弹出的对话框里的选项,但能跳过最初的启动画面。

Tips:如果你还使用了其它命令行选项,要放在filename之前,不然会被忽略。

打开文件并自动选择加载器

ida -T<prefix> <filename>

<prefix>是描述加载信息的前缀,和文件加载对话框中的描述方式一致,IDA根据这些描述信息选择合适的加载器。例如,要加载一个.NET可执行文件,IDA使用如下选项:

  1. Microsoft.Net assembly
  2. Portable executable for AMD64 (PE)
  3. MS-DOS executable (EXE)
  4. Binary file

这几个选项对应的-T命令行参数为:

  1. -TMicrosoft
  2. -TPortable
  3. -TMS
  4. -TBinary

如果前缀选项的内容中包含空格,需要使用双引号括起来。例如,要加载Mach-O文件的第一个切片:

ida "-TFat Mach-O File, 1" file.macho

如果要加载的是一个压缩格式的文件,如ZIP,可以在冒号后面指定加载压缩文件中的哪个被压缩成员。例如,要加载apk里的主dex文件:

ida -TZIP:classes.dex:Android file.apk

但加载apk最好还是使用apk加载器(特别对于多dex的apk文件):

ida -TAPK file.apk

如果在命令行中包含了-T选项,最开始弹出的加载对话框就会被跳过,IDA直接使用特定加载器加载目标文件。加载对话框以外的其它对话框还是会弹出。

自动接受所有提示信息、消息、警告

有时,你想接受所有默认设置,直接加载目标文件。这时你可以使用-A选项:

ida -A <filename>

使用这个命令,IDA不会弹出任何对话框,直接接受所有选项的默认选择。

Tips:使用这个方式时,IDA加载目标文件后,仍然不会显示任何交互式对话框,甚至是重命名和增加注释对话框。要恢复交互模式,在底部的IDC或Python控制台输入batch(0)语句并执行。

自动反汇编

这个命令行选项是上一个的扩展,使用-B开关:

ida -B <filename>

这个命令会使用所有默认选项加载目标文件,自动分析,输出反汇编结果到<filename>.asm文件,然后保存数据库并退出IDA。

二进制文件选项

当加载纯二进制文件(raw binary)时,IDA无法根据文件格式(ELF/PE)识别任何元数据(metadata)。特别是无法从文件格式中提取出处理器类型和加载地址信息,这就必须要用户提供。要加速工作过程,可以在命令行选择中指定这两个信息:

ida -p<processor> -B<base> <filename>

<processor>是IDA支持的一种处理器类型,某些处理器还支持在冒号后面增加额外选项。

<base>是16进制的加载基址。这里的地址有点特殊,需要删除末尾的一个0。

例如:

从线性地址0xBFC00000加载一个大端序的MIPS固件:

ida -pmipsb -bBFC0000 firmware.bin

加载一个映射在0x4000的Cortex-M3固件:

ida -parm:ARMv7-M -b400 firmware.bin

记录日志

当单独(autonomously)使用IDA时,你将丢失通常会打印到输出窗口的很多信息,这些信息可能包含重要的消息、错误、警告。如果想保留这些消息到一个日志文件中,可以使用-L选项:

ida -B -Lida_batch.log <filename>

欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。

大雄_RE
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDA-pro-plus-6.5-x86-arm1.7.rar
05-14
使用教程见 https://blog.csdn.net/daidi1989/article/details/86304843#comments_12203591
ida-cmake:IDA插件CMake构建脚本
05-10
IDA插件CMake构建脚本 该存储库包含CMake构建脚本和Python帮助程序,无需花费太多用户的精力即可为Windows,macOS和Linux编译C ++ IDA插件。 简单插件示例用法: 创建插件仓库 git init myplugin cd myplugin git ...
IDA常用命令
xiziyunqi的博客
08-17 1781
动态调试中 1.shift+F2调出脚本编辑器 dump出指定地址及大小的内存数据 auto fp, dexAddress; fp = fopen(“C:\ass1.dll”, “wb”); for ( dexAddress=0x0AF60020;dexAddress < 0x0AF60020+0x0027B400;dexAddress++ ) fputc(Byte(dexAddress
IDA命令行参数
12-18 3003
from burp import IProxyListener helpers = None class checkParamListener(IProxyListener): def __init__(self): for l in burp.getProxyListeners(): burp.removeProxyListene
IDA官网发布每周技巧8----以批处理模式在后台运行IDA
一个热爱逆向,喜爱学习、分享的猿。
12-16 607
hex-rays官方发布了一套《Igor的IDA每周技巧》系列文章,内容不错,故进行跟踪翻译,期望对大家有所帮助。 第8篇原文:Igor’s tip of the week #08: Batch mode under the hood 在前面文章中,我们简单讨论了批处理模式,但有时这些基本用法不足以应付工作需要。这里我们讨论一下如何定制化批处理模式。 基本使用 批处理模式的基本命令行为: ida -B -Lida.log <other switches> <filena
ida使用技巧ida python
m0_52164435的博客
03-14 3371
一、简介 ida python是ida中一个很强大的功能,早期需要另行下载,后来在6.8版本成为了内置插件,而在7.5版本更新后又对函数的命名进行了规范修整。 ida python官方提供了函数文档:https://www.hex-rays.com/wp-content/static/products/ida/support/idapython_docs/ IDC api函数文档:https://www.hex-rays.com/products/ida/support/idadoc/162.shtml 二
idaIDA工具常见利用
qcwwww的博客
07-11 1009
整理一下个人的常用命令:shift + 12 显示字符串按下回车上面的 \ ,转义符,就可隐藏ida对变量类型的标注/ ,在该行添加注释双击变量看变量地址或者进入函数ctrl+s 看各种区段的地址F5一键反汇编x:对变量或函数按x查看上级调用n:对变量按下 n ,对变量进行重命名g:跳转到程序中的指定地址或者指定函数名ALT+T:搜索文本ALT+B:搜索16进制粉红色标识的为libc中的函数 白色标识的为代码中的函数C语言数组和指针: 例:list[1] = *(list +1) 即数组+下标表示
破解动态调试----IDA调试界面动态调试
l17862868372的博客
06-02 430
连接的调试命令: adb devices //链接手机 adb push D:\android_server /data/local/tmp/android_server //拷贝到手机 adb shell 、//取得root权限 su //真机加 chomd 777 /data/local/tmp/android_server //改变权限 这里进入目录 运行起来 另外开一个窗口: adb forword tcp:23946 tcp:23946
ida_ifl:IFL - 交互功能列表(IDA Pro 插件)
05-29
IFL - 交互功能列表 一个小插件,旨在提供用户友好的方式在函数及其引用之间导航。 许可证:抄送( ) 对于 Python 2 版本检查分支
安卓逆向工具-IDA pro, AndroidKiller, Jadx-gui, WinHex, Notepad++
10-11
1. IDA pro是7.7版本。【动态分析和分析so文件必备】 2. AndroidKiller是一个集成工具箱(apktools等都在里面)【分析和修改smali代码】 3. Jadx-gui 可以将apk直接反编译为Java代码,但是不能查看。 4. WinHex 由于...
BRUTAL-IDA:阻止重做和撤消以实现旧IDA
04-26
残酷的IDA 阻止重做和撤消以实现旧IDA 问题 众所周知,IDA不能撤消。 禁止撤消-不投降。 因此,很自然地,IDA 7.3添加撤消功能破坏了每个人的工作流程。 在媒体上 这将站不住脚。 解决方案 BRUTAL IDA通过阻止undo...
ELF文件格式在IDA中解析
Denny_Chen_的博客
10-08 3778
一.ELF文件在IDA中展现形式 ELF文件本身是一个二进制文件,对应IDA中 HEX VIEW 界面中内容,但用户关注更多的内容可能是 IDA VIEW。IDA VIEW中是对 HEX VIEW 界面中内容从头到尾的解析,并且内容一一对应(HEX VIEW内容偏移和IDA VIEW的左侧地址对应,不管鼠标在IDA VIEW还是HEX VIEW的哪个位置停留,点击进另一个界面时,地址或偏移都是对应的)。不管二进制文件有多大,解析的汇编内容都只是在IDA VIEW,只是文件很大时,解析会比较慢。 如果二进制内
IDA学习笔记1
weixin_30596343的博客
07-11 459
打开IDA,拖拽一个EXE文件进去,首先会弹出如下窗口: Kernel option1、Kernel option2、Processor option这三个选项会控制反汇编引擎的工作状态,一般按默认即可,大多数情况下,分析选项的默认值在准确性和方便性之间提供一个折中参数,如果IDA分析出有问题的代码时,把Kernel option1中的选项Make final analysis pa...
IDA 汇编命令分析以及函数调用过程
热门推荐
x-2010的笔记
08-15 1万+
dll的文件,入口函数DllEntryPoint: .text:000000018000525C ; BOOL __stdcall DllEntryPoint(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) .text:000000018000525C public DllEntryPoint .te
IDA pro 调试程序如何传递参数
startexcel的专栏
11-02 4461
IDA调试控制台程序,要传递参数。 在debugger->procession options里
IDA Pro基本简介
weixin_33711641的博客
11-20 2418
  IDA Pro基本简介 IDA加载完程序后,3个立即可见的窗口分别为IDA-View,Named,和消息输出窗口(output Window)。     IDA图形视图会有执行流,Yes箭头默认为绿色,No箭头默认为红色,蓝色表示默认下一个执行块。 在寄存器窗口中显示着每个寄存器当前的值和对应在反汇编窗口中的内存地址。函数在进入时都会保存堆栈地址EBP和ESP,退出函数时恢...
ida 常用操作&快捷键--待续
weixin_34075551的博客
11-16 1762
查阅资料Dalvik opcodes速查(需要科学上网)http://pallergabor.uw.hu/androidblog/dalvik_opcodes.htmlida搜索文本搜索文本搜索针对反汇编窗口进行搜索IDA文本搜索相当于对反汇编列表窗口进行子字符串搜索。通过SearchText (热键:ALT+T) 命令启动文本搜索使用CTRL+T或SearchNext Text(搜索下 一...
AI人工智能课程 机器学习算法班第18讲:循环神经网络与自然语言处理 共40页.pdf
最新发布
07-14
【课程大纲】 第1讲:概率论与数理统计 共34页.pdf 第2讲:线性代数与矩阵论 共62页.pdf 第3讲:凸优化初步 共66页.pdf 第4讲:最大熵模型与EM算法 共38页.pdf 第5讲:决策树、随机森林、GBDT、XGBoost 共36页.pdf 第8讲:机器学习中的特征工程 共51页.pdf 第9讲:机器学习调优与模型融合 共32页.pdf 第10讲:推荐系统原理与应用 共58页.pdf 第11讲:排序与CTR预估问题 共35页.pdf 第12讲:聚类和社交网络算法 共60页.pdf 第13讲:机器学习算法之图模型初步 共21页.pdf 第15讲:主体模型 共43页.pdf 第16讲:人工神经网络 共45页.pdf 第17讲:计算机视觉与卷积神经网络 共50页.pdf 第18讲:循环神经网络与自然语言处理 共40页.pdf 第19讲:深度学习框架与应用 共61页.pdf 第20讲:采样与变分 共26页.pdf
ida 逆向代码 --- 双精度浮点型jumpout
08-01
IDA逆向代码是指对二进制程序进行逆向分析和修改的过程。双精度浮点型jumpout是指在逆向代码过程中遇到的一个跳转指令,该指令可以根据双精度浮点数的值来进行跳转。 在IDA逆向代码中,双精度浮点型jumpout的实现方式通常是通过比较双精度浮点寄存器的值,并根据比较结果跳转到指定的地址。具体实现步骤如下: 1. 首先,使用IDA打开二进制程序,并进行逆向分析,找到双精度浮点型jumpout指令的位置。 2. 在跳转指令之前,通常会使用一条或多条指令将双精度浮点数的值加载到浮点寄存器中。 3. 找到进行比较的指令,该指令通常会使用浮点寄存器中的值与另一个双精度浮点数进行比较。比较操作可以是大于、小于、等于等。 4. 根据比较结果,使用条件跳转指令进行跳转。如果比较结果符合条件,则跳转到目标地址;否则,继续执行下一条指令。 5. 如果跳转成功,程序将会执行目标地址处的指令,否则继续执行下一条指令。 通过以上步骤,我们可以实现双精度浮点型jumpout的功能。在IDA逆向代码中,我们可以根据这个跳转指令的地址和执行条件,来分析和修改程序的行为。这在逆向工程中是非常有用的,可以帮助我们理解和改进二进制程序的逻辑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值