这IDA怎么这么难用啊

最新推荐文章于 2024-08-25 18:03:45 发布
最新推荐文章于 2024-08-25 18:03:45 发布
阅读量703 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: 汇编 文章标签: 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_53358173/article/details/116290619

文章目录

这IDA怎么这么难

IDA简介:

  • 反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。 说白了就是会用你就很了不起

IDA数据库文件

  • .id0文件:是一个二叉树形式的数据库。
  • .id1文件:包含描述每个程序字节的标记。
  • .nam文件:包含与IDA的Names窗口[3]中显示的给定程序位置有关的索引信息。
  • .til文件:用于存储与一个给定数据库的本地类型定义有关的信息。

IDA导航条

  • 蓝色:.text section
  • 深蓝:用户自己写的函数表以后的代码区
  • 浅蓝:编译器自己添加的函数,像启动函数,异常函数等
  • 粉红色:.idata section有关输入表的一些数据
  • 军绿色:.rata section纯数据,只读
  • 灰色:为了段对齐而留下的空隙
  • 黑色:禁区,不存在任何数据

IDA三个可视窗口

  1. IDA-View窗口
  2. 函数窗口
  3. 消息窗口
    在这里插入图片描述

IDA图形视图

  • 控制流程图
  • 基本块是一个不包含分支,从头执行到尾的最大指令序列
  • 红箭头:假,不执行分支
  • 绿箭头:真,执行分支
文本视图
  • 虚拟地址:以[区域名称]:[虚拟地址]这种格式显示,如text:004011C1
    在这里插入图片描述
函数窗口

对应列:(可通过help搜索functions window查找)

  • R - function returns to the caller// 函数返回给调用者
  • F - far function 被远程调用的函数
  • L - library function // 库函数
  • S - static function // 静态函数
  • B - BP based frame. IDA will automatically convert //并使用EBP寄存器(B)引用它的局部变量
  • T - function has type information
  • 双击Functions窗口中的一个条目,反汇编窗口将跳转到选定函数所在的位置(反汇编窗口会自动打开)
十六进制窗口

十六进制窗口

  • 对应Views▶Open Subviews▶Hex dump,十六进制窗口可以配置为显示各种格式,并可作为十六进制编辑器使用,和在反汇编窗口中一样,可以同时打开几个十六进制窗口。第一个叫做Hex View-A,第二个叫做Hex View-B,依次类推。

同步关联:

  • 默认情况下,第一个十六进制窗口会与第一个反汇编窗口同步,你也可以通过在任一窗口中右击选击Synchronize

  • 同步后,在一个窗口中滚动鼠标,另一个窗口也会滚动到相同的位置(同一个虚拟地址),选中地址会高亮

编辑:

  • 右击菜单,选择Edit菜单项(F2)可将十六进制窗口转变为编辑器,这时可以自由编辑,完成编辑后,你必须提交或取消更改才能返回查看模式(F2保存,ESC撤消)
Names窗口

  • 它简要列举了一个二进制文件的所有全局名称。

  • 名称是指对一个程序虚拟地址的符号描述。在最初加载文件的过程中,IDA会根据符号表和签名分析派生出名称列表。双击Names窗口中的名称,可立即跳转到显示该名称的反汇编视图。

  • Names窗口中显示的名称采用了颜色和字母编码:

  1. F,常规函数。IDA认为这些函数不属于库函数。

  2. L,库函数。IDA通过签名匹配算法来识别库函数。如果某个库函数的签名并不存在,则该函数将被标记为常规函数。

  3. I,导入的名称,通常为共享库导入的函数名称。它与库函数的区别在于:导入的名称没有代码,而库函数的主体将在反汇编代码清单中显示。

  4. C,命名代码。这些是已命名的程序指令位置,IDA认为它们不属于任何函数。当IDA在程序的符号表中找到一个名称,但没发现对程序位置的任何调用时,就会出现这种情况。

  5. D,数据。已命名数据的位置通常表示全局变量。

  6. A,字符串数据。这是一个被引用的数据位置,其中包含的一串字符符合IDA的某种已知的字符串数据类型,如以’\0’字节结束的ASCIIC 字符串。

查看程序中的所有字符串

在这里插入图片描述

  • 快捷键:shift+F12

添加注释

  • enter+冒号可以添加注释

基本设置

在这里插入图片描述

IDA桌面提示小技巧

  • 使用 View -> Open Subviews 命令恢复无意中关闭的数据显示窗口

  • 使用 Windows -> Reset Desktop 命令可迅速将桌面恢复到原始布局

  • 使用 Windows -> Save Desktop 命令保存当前的桌面布局

  • 用 Windows -> Load Desktop 命令打开之前保存的一个桌面布局

  • Disassembly 窗口(无论是图形视图或列表视图)是唯一一个可以修改其显示字体的窗口,使用 Options -> Font 命令可以设置字体

结束语

  • 是不是脑袋瓜子嗡嗡作响了哈哈哈,不着急,满满学习吧
反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
dvlinker的技术专栏
10-07 6万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
使用反汇编工具IDA查看发生异常的汇编代码的上下文去辅助分析C++软件异常
热门推荐
dvlinker的技术专栏
08-08 3万+
本文详细介绍如何使用反汇编工具IDA查看发生异常的汇编代码的上下文去辅助分析C++软件异常,并给出了问题分析实例。
IDA使用教程
最新发布
qq_74041528的博客
08-25 8639
本文基于《IDA Pro权威指南(第2版)》整理的使用教程,供学习参考。
function的name属性
weixin_34126215的博客
10-18 759
name属性是函数的一个非标准的属性。 通过这个属性,我们可以访问给定函数的名字。属性name的值永远等于跟在function关键字后的标识符。 eg: function jenny(arg1,arg2){ //函数体 } alert(jenny.name); //输出 jenny Firefox、Safaro、Chrome、Opera都支持该属性。 注:匿名...
IDEA调试自动显示16进制数值
qq_36535153的博客
09-25 1117
idea调试显示16进制数值
16.IDA-列出函数中存在的全部call
hgy413的专栏
01-28 5178
有时待分析的函数反汇编太长,需要确认此函数调用了哪些call 选择View▶Open Subviews▶Function Calls窗口 窗口的上半部分列出了所有调用当前函数(由打开窗口时光标所在位置决定)的位置 窗口的下半部分列出了当前函数做出的全部调用 如,查看fopen的反汇编调用
IDA脚本——输出所有函数名称和地址
zhuzhuzhu22的博客
07-17 6734
本博客由闲散白帽子胖胖鹏鹏胖胖鹏潜力所写,仅仅作为个人技术交流分享,不得用做商业用途。转载请注明出处,未经许可禁止将本博客内所有内容转载、商用。       我们在使用IDA的时候,经常要对分析好的函数结果进行导出,结合其他软件比如OD或者其他二进制分析工具使用,这里我提供一个python脚本,能够将IDA中所有的函数名称和地址提取出来,并且输出成sqlite3数据库,这样即使是函数数量比较多的...
Relocations for this machine are not implemented,IDA版本过低导致打开二进制文件时生成汇编代码失败
dvlinker的技术专栏
12-19 1万+
本文详细讲述IDA版本过低导致生成汇编代码失败问题的排查过程,并以一个具体的安卓app崩溃的案例阐述如何使用IDA查看汇编代码去快速定位C++源码中的问题。
使用IDA查看汇编代码上下文去辅助排查C++软件异常问题
dvlinker的技术专栏
02-08 1万+
在部分场景下仅使用Windbg分析还不够,还需要使用IDA工具去查看发生异常的模块的汇编代码上下文,将C++源码与汇编代码结合着看,去找出引发问题的原因。
使用反汇编工具IDA查看动态库中的汇编代码上下文,结合安卓系统生成的Tombstone文件,排查安卓app程序底层C++库崩溃问题
dvlinker的技术专栏
01-09 2万+
本文详细介绍如何使用IDA反汇编工具去查看二进制文件中的汇编代码上下文,结合安卓系统生成的Tombstone文件,排查安卓app程序遇到的底层库崩溃问题。
使用IDAPython解密被加密函数名
liuhaidon1992的博客
12-04 1514
最近分析一款病毒,输入表是空的,并且搜字符串,搜不到函数名,函数名被加密了。 就写了个脚本把函数名都解密起来,并加注释,方便在IDA中查看。 完整脚本如下: def get_string(addr): out = "" sourceString = "amNFHufoTRn0P3vI8xBS4t6jM9CqXeibUDEpQ1ZGYywJzAg7sk2lc5WLOrKdhV.?...
IDA入门【二】IDA数据显示窗口
小旺的博客
01-02 2909
这个选项使Strings窗口仅显示IDA自动创建或用户手动创建的已命名字符串数据项。在选中这个选项的同时禁用所有其他选项,IDA将不会自动扫描其他类型的字符串。
IDA默认将反编译的10进制数 转化成16进制数的设置
qq_36535153的博客
11-25 2754
再 Edit->Hex-Rays Decompiler->Options-> Default radix 改成 16进制
【Android 逆向】IDA 工具使用 ( 函数窗口 Function window | 创建引用图 Xrefs graph to | 创建调用图 Xrefs graph from )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-13 3978
一、函数窗口 Function window、 二、创建引用图 Xrefs graph to、 三、创建调用图 Xrefs graph from、
IDA将反编译的10进制数 转化成16进制数的设置
m0_65003238的博客
07-11 1421
菜单栏选择Edit->Plugins->Hex-Rays Decompiler->Options-> Default radix 改成 16,就是16进制了。
2.IDA-数据显示窗口(反汇编窗口、函数窗口、十六进制窗口)
hgy413的专栏
11-15 1万+
IDA加载后,3个立即可见的窗口分别为IDA-View窗口、函数窗口和消息输出窗口,所有窗口都可通过View▶Open Subviews菜单打开 反汇编窗口 反汇编窗口也叫IDA-View窗口,它是操作和分析二进制文件的主要工具 0.在反汇编窗口中,ESC键的作用与Web浏览器的“后退”按钮类似,遗憾的是,在打开的其他窗口中,ESC键用于关闭窗口 IDA使用术语流来表
C/C++软件逆向:IDA基本使用
WolvenSec的博客
08-18 2853
这篇文章主要来说一下IDA的基本使用,那么在此之前先来准备一个简单的程序,作为IDA使用的实例。VS 创建一个C++项目,并设置项目属性:设置运行库为MTd(默认是MDd)在Visual Studio中,运行库选项(Runtime Library)决定了项目在编译和链接时使用的C/C++运行时库。Visual Studio中的主要运行库选项包括:直接生成程序:打开当前项目所在目录,找到生成的exe程序;可以看到与exe同目录下还存在着和两个文件;那么这两个文件是什么,与exe文件的关系又是什么。有文件时,静
一、IDA简介
Zxy_space的博客
03-19 1万+
*一、IDA简介* IDA Pro全称是International disassemble professional,交互式反编译专业版,简称IDA。采用递归向下反编译器,目的是尽可能呈现接近原代码的代码。它是Hex-Rays公司出品的一款交互式反汇编工具,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器。它支持数十种CPU指令集其中包括Intel x86、x64、MIPS、PowerPC、ARM、Z80、68000、c8051等等,目前IDA的最新版本
8.IDA-数据与代码、函数互相转换
墨痕诉清风的博客
02-20 1184
在重新格式化之前,首先必须删除其当前的格式(代码或数据)。在结果上下文菜单中选择Undefine(也可使用Edit▶Undefine命令或热键U),即可取消函数、代码或数据的定义,关键是,必须中间执行Undefine。
ida pro ndisasm怎么用,
06-25
需要注意的是,IDA Pro和ndisasm虽然可以作为反汇编器使用,但在使用过程中需要具备相关的计算机组成原理和汇编语言知识,否则很难理解和分析汇编代码的含义。 ### 回答3: IDA Pro和ndisasm是两个不同的工具,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值