第一部分最顶部的是工具栏,它其中包括一些逆向分析过程中经常使用的工具。
File 用来打开新建装载一个应用程序。
Edit用来编辑反汇编代码,可以用来复制筛选。
Jump 用来跳转的,可以有很多类型的跳转,可以进行一行上下位置,特地位置的跳转,
还可以根据名字,函数来进行,跳转到新窗口,跳转到某一个偏移量。
Search 顾名思义就是用来搜索的。
View是用来选择显示方式的,或者显示某一特定某块的信息。比如树形逻辑图显示,或者16进制显示。还可以单独显示某一特定信息,比如输入或者输出表等。
Debugger ,调试器被集成在IDA中,首先我们使用IDA装入文件,来生成数据库,用户可以使用反汇编功能,查看所有反汇编信息,这些均可以在调试器中进行和使用。
Options 在这里可以进行一下常规性的设置。
Windows 当前的窗口显示界面。
Help 使用IDA的一些帮助文档,检查更新等等。
工具栏下面是导航栏,用来加载文件地址空间,不同的颜色代表不同类型的文件内容,在导航栏下方列出了不同颜色所代表的文件内容。可以放大或缩小导航条,点击导航栏可以跳转到对应选中的位置。其中蓝色代表代码段,棕色代表数据段,绿色代表未知。
第二部分 Functions windows表示该程序的函数表,双击查看他的详细信息。
第三部分 各窗口的功能:
- IDA view: 定位要修改的代码段在哪里,显示了被加载文件的反汇编代码,是我们静态分析过程中最主要的窗口。
- Hex view: 窗口也称十六进制窗口,相当于一个十六进制的编辑器,可以直接对代码和数据进行修改,用户可以同时打开多个十六进制窗口。用来修改我们的数据
- exports: 列出了被载入文件的所有导出函数,若载入文件没有抹去符号,很多时候用户可以直接在导出函数列表中找到入口函数。导出函数表窗口
- import: 窗口为导入函数窗口,它会列出被分析的二进制文件导入的所有函数。导入函数表窗口
- Structures窗口,在分析阶段,IDA会查询它的函数类型签名扩展库,设法将函数的参数类型和程序使用的内存匹配起来。functions: 样本的所有函数窗口
- strings: 显示了从被分析的二进制文件中提取出的字符串以及字符串所在的地址。 字符串显示窗口,会列出程序中的所有字符串
- Enums窗口,枚举窗口与结构体窗口类似,用户同样可以创建自定义联合体。
第四部分 IDA常用快捷键功能
空格键:反汇编窗口切换文本跟图形
Esc:在反汇编窗口中使用为后退到上个操作的地址处
Shift +F5:打开签名窗口
shift+F12:自动分析出参考字符串
ALT+T:搜索字符串(文本搜索)
ALT+L:标记(Lable)
ALT+M:设置标签(mark)
ALT+G:转换局部变量为结构体
ALT+Enter:跳转到新的窗口
Alt+B:快捷键用于搜索十六进制字节序列,通常在分析过程中可以用来搜索opcode
CTRL+M:列举出当前已经添加的标签
CTRL+S列举出二进制程序的段的开始地址、结束地址、权限等信息
F9:动态调试程序(其实IDA主要用作静态分析用的)
F5:将一个函数逆向出来(生成c伪代码)
G:跳转到指定地址
A:将选择的信息转换成ASCII(转换成可读性跟强的字符串)
X(ctrl+X):交叉引用,类似于OD中的栈回溯操作
N:对符号重命名
:&;(冒号&分号):光标所在位置添加常规注释和可重复注释
P:创建函数
T:解析结构体偏移
M:转换为枚举类型常量
Y:设置变量类型
H:转换16进制
C:光标所在地址处的内容解析成代码
D:光标所在地址处的内容解析成数据
A:光标所在地址处的内容解析成ascll码字符串
U:光标所在地址处的内容解析成未定义内容。
1054
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
