IDA官网发布的每周技巧7----IDA命令行选项

最新推荐文章于 2023-03-14 21:12:13 发布
最新推荐文章于 2023-03-14 21:12:13 发布
阅读量1.5k 收藏 2
点赞数 2
分类专栏: IDA官网发布的每周技巧 文章标签: IDA 逆向
原文链接:https://hex-rays.com/blog/igor-tip-of-the-week-07-ida-command-line-options-cheatsheet/
版权

hex-rays官方发布了一套《Igor的IDA每周技巧》系列文章,内容不错,故进行跟踪翻译,期望对大家有所帮助。

第七篇原文:Igor’s tip of the week #07: IDA command-line options cheatsheet

大多数用户通常都是单独使用IDA,并且都是使用用户界面来配置各种选项。其实可以通过命令行来给IDA传递一些参数,这会使一些配置过程自动完成,不再需要与用户交互。

Tips:下面例子中的ida可以被替换,要使用64位程序替换为ida64,要使用控制台UI替换为idat(idat64)。

IDA打开文件的简单方式

ida <filename>

<filename>可以是你想分析的一个新文件,也可以是一个现有的数据库(idb/i64)。这个用法和在界面中使用File->Open打开一个文件,或者将一个文件拖到IDA图标上的效果是一样的,你还是需要人工配置文件加载对话框等IDA弹出的对话框里的选项,但能跳过最初的启动画面。

Tips:如果你还使用了其它命令行选项,要放在filename之前,不然会被忽略。

打开文件并自动选择加载器

ida -T<prefix> <filename>

<prefix>是描述加载信息的前缀,和文件加载对话框中的描述方式一致,IDA根据这些描述信息选择合适的加载器。例如,要加载一个.NET可执行文件,IDA使用如下选项:

  1. Microsoft.Net assembly
  2. Portable executable for AMD64 (PE)
  3. MS-DOS executable (EXE)
  4. Binary file

这几个选项对应的-T命令行参数为:

  1. -TMicrosoft
  2. -TPortable
  3. -TMS
  4. -TBinary

如果前缀选项的内容中包含空格,需要使用双引号括起来。例如,要加载Mach-O文件的第一个切片:

ida "-TFat Mach-O File, 1" file.macho

如果要加载的是一个压缩格式的文件,如ZIP,可以在冒号后面指定加载压缩文件中的哪个被压缩成员。例如,要加载apk里的主dex文件:

ida -TZIP:classes.dex:Android file.apk

但加载apk最好还是使用apk加载器(特别对于多dex的apk文件):

ida -TAPK file.apk

如果在命令行中包含了-T选项,最开始弹出的加载对话框就会被跳过,IDA直接使用特定加载器加载目标文件。加载对话框以外的其它对话框还是会弹出。

自动接受所有提示信息、消息、警告

有时,你想接受所有默认设置,直接加载目标文件。这时你可以使用-A选项:

ida -A <filename>

使用这个命令,IDA不会弹出任何对话框,直接接受所有选项的默认选择。

Tips:使用这个方式时,IDA加载目标文件后,仍然不会显示任何交互式对话框,甚至是重命名和增加注释对话框。要恢复交互模式,在底部的IDC或Python控制台输入batch(0)语句并执行。

自动反汇编

这个命令行选项是上一个的扩展,使用-B开关:

ida -B <filename>

这个命令会使用所有默认选项加载目标文件,自动分析,输出反汇编结果到<filename>.asm文件,然后保存数据库并退出IDA。

二进制文件选项

当加载纯二进制文件(raw binary)时,IDA无法根据文件格式(ELF/PE)识别任何元数据(metadata)。特别是无法从文件格式中提取出处理器类型和加载地址信息,这就必须要用户提供。要加速工作过程,可以在命令行选择中指定这两个信息:

ida -p<processor> -B<base> <filename>

<processor>是IDA支持的一种处理器类型,某些处理器还支持在冒号后面增加额外选项。

<base>是16进制的加载基址。这里的地址有点特殊,需要删除末尾的一个0。

例如:

从线性地址0xBFC00000加载一个大端序的MIPS固件:

ida -pmipsb -bBFC0000 firmware.bin

加载一个映射在0x4000的Cortex-M3固件:

ida -parm:ARMv7-M -b400 firmware.bin

记录日志

当单独(autonomously)使用IDA时,你将丢失通常会打印到输出窗口的很多信息,这些信息可能包含重要的消息、错误、警告。如果想保留这些消息到一个日志文件中,可以使用-L选项:

ida -B -Lida_batch.log <filename>

欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。

大雄_RE
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDA常用命令
xiziyunqi的博客
08-17 1783
动态调试中 1.shift+F2调出脚本编辑器 dump出指定地址及大小的内存数据 auto fp, dexAddress; fp = fopen(“C:\ass1.dll”, “wb”); for ( dexAddress=0x0AF60020;dexAddress < 0x0AF60020+0x0027B400;dexAddress++ ) fputc(Byte(dexAddress
IDA命令参数
12-18 3012
from burp import IProxyListener helpers = None class checkParamListener(IProxyListener): def __init__(self): for l in burp.getProxyListeners(): burp.removeProxyListene
Running scripts from the command line with idascript
stonesharp的专栏
03-24 1059
Running scripts from the command line with idascript http://www.hexblog.com/?p=128 In this blog post we are going to demonstrate how the ‘-S’ and ‘-t’ switches (that were introduced in IDA P
IDA-Python 获取函数参数
qq_42021840的博客
07-20 2207
http://www.vuln.cn/6249
ida使用技巧ida python
m0_52164435的博客
03-14 3460
一、简介 ida python是ida中一个很强大的功能,早期需要另下载,后来在6.8版本成为了内置插件,而在7.5版本更新后又对函数的命名进了规范修整。 ida python方提供了函数文档:https://www.hex-rays.com/wp-content/static/products/ida/support/idapython_docs/ IDC api函数文档:https://www.hex-rays.com/products/ida/support/idadoc/162.shtml 二
idaIDA工具常见利用
qcwwww的博客
07-11 1019
整理一下个人的常用命令:shift + 12 显示字符串按下回车上面的 \ ,转义符,就可隐藏ida对变量类型的标注/ ,在该添加注释双击变量看变量地址或者进入函数ctrl+s 看各种区段的地址F5一键反汇编x:对变量或函数按x查看上级调用n:对变量按下 n ,对变量进重命名g:跳转到程序中的指定地址或者指定函数名ALT+T:搜索文本ALT+B:搜索16进制粉红色标识的为libc中的函数 白色标识的为代码中的函数C语言数组和指针: 例:list[1] = *(list +1) 即数组+下标表示
IDA-pro-plus-6.5-x86-arm1.7.rar
05-14
使用教程见 https://blog.csdn.net/daidi1989/article/details/86304843#comments_12203591
ida-cmake:IDA插件CMake构建脚本
05-10
IDA插件CMake构建脚本 该存储库包含CMake构建脚本和Python帮助程序,无需花费太多用户的精力即可为Windows,macOS和Linux编译C ++ IDA插件。 简单插件示例用法: 创建插件仓库 git init myplugin cd myplugin git ...
ida_ifl:IFL - 交互功能列表(IDA Pro 插件)
05-29
IFL - 交互功能列表 一个小插件,旨在提供用户友好的方式在函数及其引用之间导航。 许可证:抄送( ) 对于 Python 2 版本检查分支
安卓逆向工具-IDA pro, AndroidKiller, Jadx-gui, WinHex, Notepad++
10-11
1. IDA pro是7.7版本。【动态分析和分析so文件必备】 2. AndroidKiller是一个集成工具箱(apktools等都在里面)【分析和修改smali代码】 3. Jadx-gui 可以将apk直接反编译为Java代码,但是不能查看。 4. WinHex 由于...
BRUTAL-IDA:阻止重做和撤消以实现旧IDA
04-26
残酷的IDA 阻止重做和撤消以实现旧IDA 问题 众所周知,IDA不能撤消。 禁止撤消-不投降。 因此,很自然地,IDA 7.3添加撤消功能破坏了每个人的工作流程。 在媒体上 这将站不住脚。 解决方案 BRUTAL IDA通过阻止undo...
ELF文件格式在IDA中解析
Denny_Chen_的博客
10-08 3820
一.ELF文件在IDA中展现形式 ELF文件本身是一个二进制文件,对应IDA中 HEX VIEW 界面中内容,但用户关注更多的内容可能是 IDA VIEW。IDA VIEW中是对 HEX VIEW 界面中内容从头到尾的解析,并且内容一一对应(HEX VIEW内容偏移和IDA VIEW的左侧地址对应,不管鼠标在IDA VIEW还是HEX VIEW的哪个位置停留,点击进另一个界面时,地址或偏移都是对应的)。不管二进制文件有多大,解析的汇编内容都只是在IDA VIEW,只是文件很大时,解析会比较慢。 如果二进制内
IDA 汇编命令分析以及函数调用过程
x-2010的笔记
08-15 1万+
dll的文件,入口函数DllEntryPoint: .text:000000018000525C ; BOOL __stdcall DllEntryPoint(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) .text:000000018000525C public DllEntryPoint .te
ida借助windbg 双机调试内核
kingswb的博客
04-24 3193
用windbg双机调试的话,因为是命令类似于以编程来代替手工跟踪的方式。习惯了用OD+ida分析的,肯定会不适应,于是就有ida的调试方式可以代替它,我使用的是ida 5.5,可能有一些区别,希望碰到问题的朋友能够一起解决,交流才能进步。 把配置文件配置好的话,会轻松很多。 第一个问题,IDA的windbg插件不读取pdb.cfg里的pdb目录设置,而是固执的放到temp目录去,很让人生
ida使用
fishmai的专栏
09-01 1610
1、常用命令 N:重命名地址符号U:代码转换为数据C:数据到代码;/:加注释G:跳转到指定位置ESC/CTRL+ENTER:导航后退/前进D:对数据db/dw/dd之间进切换ALT+T:string searchALT+B: binary searchA:将选择的范围转化为字符串 View --> OpenSubviews -->  Local Types-->INSERT,插入一个已存在
IDA学习笔记
热门推荐
lee353086的专栏
06-09 1万+
标题:IDA学习笔记 作者:kagula 日期:2015-06-09 环境:IDA 6.6、VS2013Update4 阅读前提: 熟悉计算机指令 介绍    通过分析自己用VS2013写的Win DLL来学习IDA反汇编工具的使用。这里记录了我分析二进制代码过程中经常遇到的问题。      首先通过参考资料[1]来熟悉下IDA的使用,建立个最基本的概念。“idb”文件是你分析样
IDA6.8 脚本学习:
hjjdebug的专栏
08-25 5429
IDA6.8 脚本学习: author:hjjdebug 自己的一个小经历, 留个纪念吧! 看见IDA 在调试时,有一个默认python 的交换调试窗口. 点击它,可以改为IDC 脚本对话窗口. 然后可以在这个窗口中输入命令: 输入什么呢? 先来个hello, world 吧 输入: print "hello" 提示说: missing semicolon I
IDA使用方法-----1
qq_41683305的博客
04-04 5277
0x01 启动IDA new:反汇编一个新文件 go:运,直接进入IDA Previous:载入一个我们以前编译过的程序 如果不想每次都看到这个对话框,可以取消该对话框底部的Display at startup(启动时显示),如果没有勾选这个,下次启动IDA时,IDA会认为我们单击了go选项。如果我们没有勾选这个,下次希望使用这个时,我们可以按照下图做,就又可以显示了。 文件加载 使用F...
ELF文件逆向IDA的使用
ShellDawn的博客
04-02 7148
下载一个ElfCrackMe1文件 使用IDA打开 shift+F2打开字符串面板
ida 逆向代码 --- 双精度浮点型jumpout
最新发布
08-01
IDA逆向代码是指对二进制程序进逆向分析和修改的过程。双精度浮点型jumpout是指在逆向代码过程中遇到的一个跳转指令,该指令可以根据双精度浮点数的值来进跳转。 在IDA逆向代码中,双精度浮点型jumpout的实现方式通常是通过比较双精度浮点寄存器的值,并根据比较结果跳转到指定的地址。具体实现步骤如下: 1. 首先,使用IDA打开二进制程序,并进逆向分析,找到双精度浮点型jumpout指令的位置。 2. 在跳转指令之前,通常会使用一条或多条指令将双精度浮点数的值加载到浮点寄存器中。 3. 找到进比较的指令,该指令通常会使用浮点寄存器中的值与另一个双精度浮点数进比较。比较操作可以是大于、小于、等于等。 4. 根据比较结果,使用条件跳转指令进跳转。如果比较结果符合条件,则跳转到目标地址;否则,继续执下一条指令。 5. 如果跳转成功,程序将会执目标地址处的指令,否则继续执下一条指令。 通过以上步骤,我们可以实现双精度浮点型jumpout的功能。在IDA逆向代码中,我们可以根据这个跳转指令的地址和执条件,来分析和修改程序的为。这在逆向工程中是非常有用的,可以帮助我们理解和改进二进制程序的逻辑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值