###4.提示窗口 下方提示窗口是ida的输出控制台,主要反馈各种信息。 ###5.字符串窗口 view-》opensubviews-》strings打开字符串窗口,显示的是从二进制文件中提取的一组字符串,双击窗口中的字符串,将会跳转到字符串所在地址。字符串窗口与交叉引用结合使用,就可以快速定位程序 阅读全文
##AsmJit 一个以C++封装的完整的JIT汇编器和编译器,生成兼容x86和x64架构的原生汇编指令。 它与之前的开源库并不一样,他只是一个汇编器,与别的汇编方式也不同,有个例子。 可以见得指令都被封装成了类成员函数,通过调用函数的方式来编码。参数可以使用寄存器,内存操作数,也可以用占位符变量, 阅读全文
这一章是静态分析技术。高级语言编写的程序一般有两种形式,一种是被编译成机器语言在CPU上执行,例如C++,机器语言与汇编语言相对应。因此可以将机器语言转化成汇编语言,这个就叫反汇编。另一种是一边解释一边执行,我们称之为解释性语言,例如visual basic3.0/4.0,java。这类语言变异的程 阅读全文
###2.别名 执行的时候直接用内容替换原始操作数。别名有一种固定别名,另一种是自定义别名。 有10个固定别名,为$u0~$u9.在定义固定别名时要用r命令,同时要在字母u前面加一个. 用于自定义别名的命令有3个,分别是as,ad和al。as命令可以为内存中的一些字符串定义别名,ad用于删除别名,a 阅读全文
##调试过程 WDG支持多种调试模式,既可以以打开,附加的方式调试应用,也可以分析Dump文件,还可以进行远程调试,内核调试。内核调试分为NET,USB,1394,COM和本地调试,前四种是双机调试,名称指明了双机间的连接方式。附加进程时的非入侵模式调试,Dump文件调试,本地内核调试都是非实时调试 阅读全文
##表达式 调试中也经常需要查看内存地址或者反汇编地址,这些地址一般通过一些表达式参与计算来获得。其中复杂表达式由基本元素与“(”“)”“】”“【”“+”“——”“^”“|”等符号组合。MDG支持的表达式如下 ##调试 MDG支持多种调试,有之前学的启动一个进程,有附加到一个进程,还有调试DLL模块 阅读全文
##加载程序 OllyDbg有两种方式加载目标程序调试,一种是通过CreatProcess创建进程,另一种是利用DebugActiveProcess函数将调试器捆绑到一个正在运行的进程上。 ###1.利用CreatProcess创建进程 直接按Open打开一个用于调试的进程。 也支持带参数的调试程序 阅读全文
2.1OllyDbg调试器 OllyDbg界面 C窗口是最重要的窗口,绝大部分都要在这个窗口进行,有五个面板窗口,分别是反汇编面板,寄存器面板,信息面板,数据面板和栈面板。 1.反汇编面板窗口 从左到右分别是地址,十六进制的机器码,反汇编代码和注释。 2.信息面板窗口 在进行动态分析时,这个面板会显 阅读全文
1.2文本字符 具体已经在王爽老师《汇编语言》中学习过。 本节主要介绍字符集和字节存储顺序。 ASC2与Unicode字符集 罗列了用十六进制数(Hex)和十进制(Dec)表示的部分常用的asc2值。 然后介绍了Unicode:是Asc2码的一个拓展,在windows中使用二字节进行编码,称为宽字符 阅读全文
