IDA 快捷键记录

最新推荐文章于 2024-04-15 17:21:01 发布
最新推荐文章于 2024-04-15 17:21:01 发布
阅读量420 收藏
点赞数
文章标签: IDA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36535153/article/details/130547220
版权

IDA 有一些快捷键 是在官方手册中没有的在这里做一个记录

shift +E 批量复制数据为字符串或者c数组格式

在这里插入图片描述

反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
dvlinker的技术专栏
10-07 6万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
使用反汇编工具IDA查看动态库的汇编代码上下文,结合安卓系统生成的Tombstone文件,快速定位安卓app程序底层C++库的崩溃问题
dvlinker的技术专栏
08-14 3万+
使用IDA反汇编工具查看汇编代码上下文,结合安卓系统自动生成的Tombstone文件,去分析安卓app程序底层C++模块的崩溃问题。
IDA常用快捷键
qq_53809201的博客
03-19 1855
a: 将数据转换为字符串 d: 将代码转换成数据 c: 将数据转换为代码 esc:回退键,能够倒回上一步操作的视图(只有在反汇编窗口才是这个作用,如果是在其他窗口按下esc,会关闭该窗口) shift+f12:可以打开string窗口,一键找出所有的字符串,右击setup,还能对窗口的属性进行设置 ctrl+w: 保存ida数据库 ctrl+s:选择某个数据段,直接进行跳转 ctrl+鼠标滚轮: 能够调节流程试图的大小 x: 对着某个函数\变量按该快捷键,可以查看它的交叉引用 g: 直接跳转到某个地址 n.
个人总结IDA快捷键(一)
weixin_62586193的博客
11-26 881
F5:最基础的东西,查看伪代码; esc:返回上一步; shift+e:(在汇编界面里)提炼出字符; /:注释; g:跳转地址; x:交叉引用; n:修改变量名; a:ASCII解析成ASCII 萌新总结,如有错误,烦请指正; ...
安卓逆向|菜鸟的IDA学习笔记:如何简单复制DCB数据
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
08-08 4729
本文内容面向0基础的新手,比较水,大佬们勿喷哈!有时候,我们需要将IDA里面的数据复制到Python程序进行处理,如果纯手工复制的话需要将数据进行处理,比较繁琐,这里介绍一个比较简单的方...
逆向IDA中Dword,数据提取
Nike_name的博客
04-15 975
写题犯了大病,这些小知识导致我很垃圾的问题都没写出来,记录一下
菜鸟的逆向工程学习之路——逆向工具IDA的使用
m0_74762365的博客
10-21 2万+
交互式反汇编器专业版(Interactive Disassembler Professional),人们常称为 IDA Pro。就其本质而言,IDA 是一种递归下降反汇编器,是个逆向分析的神器之一,可以分析x86、x64、ARM、MIPS、Java、.NET等众多平台的程序代码,是安全分析人士不可缺少的利器!
IDA调试界面介绍及快捷键
YJJYXM的博客
11-16 4288
往期推荐 IDA调试环境搭建 IDA静态分析 IDA工具介绍 IDA工具安装、分享 首先,打开IDA工具,进入IDA的调试界面。 一: IAD调式界面介绍 1.IDA-view-PC:反汇编窗口,如下图所示。 2.Hex-View:十六进制编辑窗口,如下图所示。 3.Output windows(下方) :输出窗口; General register(右侧):寄存器窗口,如下图所示。 4.Stack view(右下角):栈视图,如下图所示。 5.常量字符串窗口:View=>Open subvi
IDA Pro7使用总结
liinux-Talk is cheap,show me the code.
12-30 1105
一些二进制工具 在《IDA pro权威指南》的开篇一两章中,先是介绍了几款常用于二进制研究的工具,我这里简单的记了几个,介绍一波: C++filt: 可以用于显示出c++中复杂的重载后的函数名称 PE tools: 是一组用于分析Windows系统中正在运行的进程和可执行文件的工具 string: 可以用于直接搜索出elf文件中的所有字符串 参数-a 表示搜索整个文件,参数-t 可以显示出每一个字符串的偏移,参数-e 可以用于搜索更多的字符编码的字符串,如Unicode编码 strip: 可用于
[网络安全自学篇] 五.IDA反汇编工具初识及逆向工程解密实战
杨秀璋的专栏
08-08 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。上一篇文章分享了实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”;这一篇文章将详细讲解IDA Pro反汇编工具的基础用法,并简单讲解一个EXE逆向工程解密实战方法。希望对入门的博友有帮助,大神请飘过,谢谢各位看官!
IDA 使用记录
liuzejie1的博客
03-28 1298
U x2 = x;
跟着王哥学逆向——工具篇(IDA Pro)
热门推荐
qq_52642385的博客
01-16 4万+
交互式反汇编器专业版(Interactive Disassembler Professional)常称为 IDA Pro。IDA 是一种递归下降反汇编器,是个逆向分析的神器之一,可以分析x86、x64、ARM、MIPS、Java、.NET等众多平台的程序代码,是安全分析人士不可缺少的利器!IDA是Hex-Rays公司的旗舰产品,公司位于比利时,能写出这种软件的人都是超级大牛。这里以BUUCTF里面一道easyre题来展开对IDA的使用说明IDA的主窗口就如下图所示。
IDA基本使用
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-19 2万+
IDA基本使用,零基础,新手友好,重点使用摘要。ida文件加载,IDA桌面简介,交叉引用,IDA动态调试,IDA脚本
IDA的一些快捷键
WLINX
08-29 953
用到了再更新 空格键 :反汇编窗口切换文本跟图形 ESC退到上一个操作地址 G搜索地址或者符号 N重命名 分号键 :注释 ALT+M 添加标签 CTRL+M 列出所有标签 CTRL +S 二进制段的开始地址结束地址 C code 光标地址出内容解析成代码 P 在函数开始处使用P,从当前地址处解析成函数 D data解析成数据 A ASCII解析成ASCII U unDefined解析成未定义的内容...
使用IDA从内存中dump指定的dex
XXOOYC的专栏
05-09 1万+
虽然自己编译了一套能够简单够脱壳的坏境,不过使用上总感觉比较重量级。 今天只想把APK中某个动态解密,加载的dex搞出来,用IDA轻快很多。 步骤1: 首先通过cat /proc/pid/maps查看目标dex文件所在的内存地址: 可以看到我们的起始地址是:5faa2000                             结束地址是:5fb36000
8.IDA-数据与代码、函数互相转换
hgy413的专栏
12-26 4534
1.删除原来的格式 在重新格式化之前,首先必须删除其当前的格式(代码或数据)。右击你希望取消定义的项目,在结果上下文菜单中选择Undefine(也可使用Edit▶Undefine命令或热键U),即可取消函数、代码或数据的定义 ------------>------------------->------------------------>转换成code后,此时不能使用图形view
【不断更新中】记录一下做CTF逆向题时常用到的IDA Pro快捷键
iqiqiya的博客
10-26 1547
不断更新中...... Shift + F12 搜索文件中的字符串    用来定位关键代码再好不过了 Alt + t 搜索变量   可以用来跟踪  从下向上追踪非常好用 Ctrl + t 搜索全部变量   不断跟踪 Shift + e 用来dump数据很好用 按P 选定部分代码   之后按P可以Create function IDC脚本解密有些函数后   先把该函数删除  ...
IDA PRO逆向调试记录与常用快捷键
u010725842的专栏
02-23 2万+
使用IDA Pro定位关键代码的方法: 1、搜索特征字符串。具体操作为:      ①快捷键Ctrl+S,打开搜索类型选择对话框-->双击Strings,跳到字符串段-->菜单项“Search-->Text”;      ②快捷键Alt+T,打开文本搜索对话框,在String文本框中输入要搜索的字符串点击OK即可; 2.tab查看函数。 3.ctrl+1, spance 4.G
IDEA 快速复制、剪切当前行
Zero .
01-19 1万+
复制当前行: 直接把光标放在当前行里,或者放在当前行的末尾,按下 Ctrl + C即可复制当前行,不用双击或者鼠标从左拉到右选中,省时省力。 剪切当前行:和复制类似,直接把光标放在当前行里,或者放在当前行的末尾,按下 Ctrl + X 即可剪切当前行。 粘贴: 将复制或剪切的行放在光标位置,使用 Ctrl + v 即可把复制/剪切 的代码粘贴到光标位置。 ...
IDA 全局搜索
最新发布
05-08
<think>好的,我现在需要帮助用户解决在IDA中进行全局搜索以查找特定函数或地址引用的问题。用户之前已经询问过如何查看函数调用的地方,现在想进一步了解全局搜索的方法。我需要结合用户提供的引用和之前的回答来给出详细的步骤。 首先,用户提到的引用[1]提到了交叉引用(XREF)的功能,这是IDA中定位函数调用的基本方法。用户之前的问题也涉及到使用Ctrl+X查看交叉引用,但可能需要更全面的方法。引用[3]中提到的查找字符串的方法也可能相关,比如通过字符串找到相关函数。 用户现在需要的是全局搜索,可能不仅仅是直接的交叉引用,还包括更广泛的搜索,比如递归查找所有调用链,或者通过其他方式如字符串、名称等找到相关引用。我需要考虑IDA的不同功能,如交叉引用分析、文本搜索、脚本使用等。 之前的回答中提到了使用IDAPython脚本来递归查找调用链,这可能对用户有帮助。此外,用户可能需要知道如何通过快捷键和菜单选项进行搜索,比如Shift+F12查看字符串,Alt+T文本搜索,这些在引用[3]中也有提到。 需要注意的是,用户可能不仅想找到直接调用,还想找到间接引用或特定模式的代码。例如,搜索某个地址被哪些地方引用,或者某个函数名出现在哪些地方。因此,我应该分步骤介绍不同的方法,包括基本交叉引用、文本搜索、脚本扩展、反编译视图等。 同时,用户可能对如何验证搜索结果或处理大量结果有疑问,比如使用过滤或颜色标记。此外,高级方法如使用Frida动态跟踪可能也是用户感兴趣的,但需要指出这属于动态分析的范畴。 最后,生成相关问题时要基于用户可能的后续需求,比如处理大量结果、动态分析、递归调用链等。确保回答结构清晰,覆盖各种可能的搜索场景,并提供实际示例和代码片段,如IDAPython脚本,以增强实用性。</think>### 一、IDA全局搜索函数/地址引用的核心方法 #### 1. 基础交叉引用定位(Xrefs) - **快捷键操作**:选中目标函数名或地址后按`Ctrl+X` - **显示范围**:直接调用/访问该地址的所有位置(包括代码和数据段) - **数据类型识别**: ```c // 函数调用型引用(XREF_TYPE_CODE) call sub_140F5F580 // 数据访问型引用(XREF_TYPE_DATA) mov [rax+10h], offset sub_140F5F580 ``` #### 2. 扩展文本搜索(Shift+F12 + Alt+T) - **字符串关联搜索**: 1. 按`Shift+F12`打开字符串窗口 2. 定位到关键字符串(如"ThrallMessage") 3. 按`Alt+T`在全部函数中搜索包含该字符串的指令[^3] - **二进制模式匹配**: ```python # 搜索特定字节模式(如FF 15 ?? ?? ?? ?? 代表间接调用) Start = ScreenEA() pattern = "FF 15 ?? ?? ?? ??" while True: ea = FindBinary(Start, SEARCH_DOWN, pattern) if ea == BADADDR: break print(hex(ea)) Start = ea + 1 ``` #### 3. 递归调用链追踪(IDAPython脚本) ```python from idautils import * from idaapi import * def deep_xref_search(target_ea, depth=3): visited = set() def search(ea, current_depth): if current_depth > depth or ea in visited: return visited.add(ea) for xref in XrefsTo(ea): caller_ea = xref.frm print(f"层级 {current_depth}: {hex(caller_ea)} -> {hex(ea)}") search(get_func(caller_ea).start_ea, current_depth + 1) search(target_ea, 1) # 使用示例:搜索sub_140F5F580的三层调用链 deep_xref_search(0x140F5F580) ``` #### 4. 反编译视图全局验证 在伪代码窗口(F5生成)中使用`Ctrl+F`: - 搜索函数名(如`sub_140F5F580`) - 搜索地址常量(如`0x140F5F580`) - 搜索特定结构体访问(如`player->ReceiveMessage`) --- ### 二、高级搜索场景处理技巧 #### 1. 模糊地址匹配 当目标地址被动态计算时: ```cpp // 动态计算场景示例 lea rdx, [rip + 0x1234] // 实际地址=当前rip+0x1234 call rdx ``` 解决方法: - 使用`IDAPython`计算实际地址: ```python def calc_dynamic_addr(ea): insn = ida_ua.insn_t() ida_ua.decode_insn(insn, ea) return ea + insn.size + insn.ops[1].addr ``` #### 2. 虚函数表追踪 针对C++虚函数调用: ```cpp // 虚函数调用特征 mov rax, [rcx] // 获取vftable call qword ptr [rax+28h] // 调用vfunc28 ``` 搜索方法: - 在vftable结构体中定位目标函数偏移 - 批量搜索所有`call [reg+offset]`指令 #### 3. 跨模块引用处理 当目标地址位于外部DLL时: - 使用`LoadLibrary`/`GetProcAddress`调用链分析 - 在导入表(Imports窗口)中确认函数绑定关系 --- ### 三、验证与结果筛选 #### 1. 交叉引用可信度评估 | 特征 | 高可信度引用 | 低可信度引用 | |----------------------|----------------------------------|---------------------------| | 代码特征 | 明确调用指令(call/jmp) | 数据段中的地址存储 | | 上下文逻辑 | 参数传递符合函数原型 | 地址被用作比较操作数 | | 调用频率 | 多位置重复调用 | 单次条件判断分支 | #### 2. 结果过滤方法 - **颜色标记**:右键选择引用项→Set color→标记可疑引用 - **注释添加**:对重要引用按`:`键添加注释 - **导出分析**:通过菜单File→Script File导出结果到CSV: ```python with open("xrefs.csv", "w") as f: f.write("Type,From,To\n") for xref in XrefsTo(target_ea): f.write(f"{xref.type},{hex(xref.frm)},{hex(xref.to)}\n") ``` --- ### 四、动态扩展方案(需配合调试器) #### 1. 运行时断点追踪 - 在目标地址设置断点(F2) - 运行调试器(F9),触发断点时: - 查看调用栈(Debugger→Debugger windows→Stack trace) - 记录RIP/EIP寄存器值获取调用位置 #### 2. Frida挂钩监控(需导出IDA数据库) ```javascript Interceptor.attach(ptr(target_ea), { onEnter: function(args) { console.log(`Called from ${this.returnAddress}`); } }); ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值