a5right的博客

处理器执行一个操作数为 2 个寄存器的指令时，无法判别这是有符号还是无符号数的运算。读者会知道是因为可以从后面那个条件跳转指令来判断。所以处理器同时考虑这 2 种情况，并且触发对应的标志。使用 IDA 调试 crackme.exe 程序，运行到程序入口暂停。如果使用 keypatch 修改指令后，发现汇编指令变成 db 形式了，记得先把修改的那段 Undefine，然后再转成 Code。

目前已经介绍了IDA加载器的一些内容，后面也还会接着讨论。本章再介绍调试器的一些内容。IDA 支持多个调试器。首先加载初始没有打过补丁的 CRUEHEAD’s crackme 程序，如果现在路径下有已修改程序的数据库或者说 idb 文件，当 IDA 提示时，选择创建新的数据库并覆盖已有数据库（OVERWRITE），开始重新分析。

使用 IDA 打开 HOLA_REVERSER.exe 文件，IDA 会提示我们是否加载符号文件。由于这个程序不是我们写的，所以我们没有符号文件。点击否即可。IDA 7.7 已经很聪明了，打开该文件后，自动定位到了 main 函数。这个程序很简单，我们只需要分析 main 函数即可。

一般来说，逆向分析并不是对那些庞大的程序进行完整的逆向，只是分析特定位置的一个或几个函数。首先从静态分析 CRUEHEAD’s CRACKME 这个程序开始。

​原文：https://ricardonarvaja.info/WEB/IDA DESDE CERO/实验材料：https://github.com/aprz512/reversing-with-ida-pro-from-scratch在这个 IDA 系列教程中，会由浅入深地讲解包括：IDA基本操作、静态及动态逆向分析、脱壳破解、漏洞开发等。以 windows 程序为例（x86汇编）。将会比较少的介绍基础知识，如果遇到不能理解的可看前一个系列与《CSAPP》。