1.可以被IDA解析的文件包括.exe、.so、.o等格式。
——打开方式:1.选择文件(代码如下),点ok。
(十进制转二进制,八进制代码)
`#include<stdio.h>
#include<math.h>
int main()
{int a,b,n;
while(scanf("%d",&a))
{
b=a;
for(n=1;a/2!=0;n++)
{a=a/2;}
for(a=b;n!=0;n–)
{
if (a>=pow(2,n-1))
{printf(“1”);
a=a-pow(2,n-1);}
else
printf(“0”);}
a=b;
printf("\n%o\n",a);
}
system(“pause”);
return 0;
}`
提示用什么格式打开:
2.打开后为以下图例
(1)左窗口为函数列表,一个文件被反编译后所有的函数列表都可以在此窗格中显示;
(2)右窗口为汇编代码区,双击每个函数,可以看到对应函数对应的汇编代码段;
(3)下窗口为输出窗口,文件反汇编过程中的信息都可以在此窗口中看到。
(1)空格可以切换汇编代码为流程图浏览模式
(2)在流程图模式下,绿线代表判定条件成立,红线代表判定条件不成立
2.菜单模块
File , Edit , Jump , Search , View , Debugger , Options , Windows , Help
1.File 是用来打开,新建,装载一个应用程序的
2.Edit 是用来编辑反汇编代码的,可以复制,筛选什么的。
3.Jump 是用来跳转的,可以有很多种类型的跳转,比如跳转到上一个位置或者下一个位置,跳转到某个指定的地址。还可以根据名字,函数来进行跳转,跳转到一个新的窗口,跳转某一个偏移量等等。
4.Serach 是用来搜索的。
5.View 是用来选择显示方式的,或者显示某一特定模块信息的。比如以树形逻辑图显示,或者16进制形式显示。还可以单独显示某一特定信息,比如输入或者输出表等。
6.Debugger ,调试器被集成在IDA中,首先我们使用IDA装入文件,来生成数据库,用户可以使用反汇编功能,查看所有反汇编信息,这些均可以在调试器中进行和使用。
7.Options ,在这里可以进行一下常规性的设置。
8.Windows,
9.Help,使用IDA的一些帮助文档,检查更新等等。
6.使用大体步骤
3.常用窗口:
1)常量字符串窗口:
通过此窗口可以看到程序中所有的常量字符串列表。
2)字符串查找窗口:
可以通过此窗口查找某个指定的字符串。
3)地址跳转:
使用该窗口可以跳转到指定地址的汇编代码段。
地址为语句前的.text:xxxxxxxxxxxxxxxx
4)Debugger options:
在该窗口中设置调试程序的一些选项,包括调试时进行的一些操作设置、日志记录设置等等:
5)Switch debugger
通过此窗口可以设置调用的调试器:
设置好调用的调试器后需要设置远程调试器的信息:
6)脚本执行窗口:
7)汇编代码注释编写:
鼠标点击某一行汇编代码,然后输入分号“;”,就可以打开输入编辑注释的窗口。
8)Xrefs graph to和Xrefs graph from
通过Xrefs graph to可以看到该函数被其他函数调用的信息:
通过Xrefs graph from可以看到该函数调用的其他函数:
8)设置窗口
4.神器:F5伪代码查看
通过F5大致可以看出代码构造,与源代码几乎相差不多
5.窗口
Hex View-1:可以查看16进制代码,方便定位代码后使用其他工具修改,具体表示如下图所示:
Stuuctures:可以查看程序的结构体:
Enums:可以查看枚举信息:
Imports:可以查看到输入函数,导入表即程序中调用到的外面的函数:
Exports:可以查看到输出函数:
使用IDA的一个大体步骤:
1.装入文件或程序
2.指令断点
3.程序运行
4.分析堆栈
5.添加监视
6.进行地址分析
7.单步跟踪
8.找到bug
9.使用硬件断点进行bug确认
参考资料:
https://blog.csdn.net/ilnature2008/article/details/54912854
https://www.cnblogs.com/iBinary/p/7721042.html?utm_source=debugrun&utm_medium=referral
http://www.freebuf.com/column/157939.html
p.s 不大知道怎么写笔记,这次就是相当于把其他网站东西抄了一道,根据上面在IDA操作了一次。。。
6326
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
