IDA PRO使用
IDA PRO使用
一、前言:
看到两篇很好的文章,刚好我需要了解IDA的使用,所以借着机会,复现一下大佬的文章。
二、使用:
1、环境:
IDA 5.0
百度网盘6.2.0
2、视图区:
(1)选择百度网盘
(2)出现窗口
(3)介绍:
1)1号区:对不同代码块使用不同颜色进行区分,,点击相应的颜色块,进行不同代码块的定位。
蓝色:代码块
棕色:数据段
红色:内核
黑色:输出窗口,文件反编译过程中的信息都可以在这看到
2)2号区:表示该程序的函数表,双击后可查看详细信息
3)3号区:整体程序或某个函数的图标概述。可以大体把握功能和结构的走向
4)4号区:
主要显示6个部分信息:IDA View-A、Hex View-1、Structures、Enums、Imports、Exports
IDA View-A:表示某个函数的图标架构,可以查看程序的逻辑树形图,把程序的结构更人性化地显示出来,方便分析
Hex View-A:查看16机制代码,方便定位代码后使用其他工具修改
Structures:查看程序的结构体
Enums:查看枚举信息
Imports:查看输入函数,导入表(程序中调用到的外部函数)
Exports:查看输出函数
3、功能区:
菜单模块:(汉化)
(1)文件:
(2)编辑:
(3)查找:
(4)视图:
(5)调试器:
(6)选项:
(7)窗口:
(8)帮助:
4、调试步骤:
(1)装入文件或程序
(2)指令断点
(3)程序运行
(4)分析堆栈
(5)添加监视
(6)进行地址分析
(7)单步跟踪
(8)找到bug
(9)使用硬件断点进行bug确定
5、实例:
(1)代码:
(2)装入:
(3)在汇编代码区输入空格键,可以切换汇编代码为流程图浏览模式:
(4)在流程图模式下,绿线代表条件成立,红线代码条件不成立
(5)常量字符串窗口:通过该窗口可以看到程序中所有的常量字符串列表(PS:逆向分析一个程序,从字符串入手是一个方向)
(6)字符串查找窗口:查找指定字符串
(7)地址跳转:使用该窗口可以跳转到指定地址的汇编代码段
(8)Debugger options:该窗口可以设置调试程序中一些选项,包括调试时进行的一些操作设置、日志设置等
(9)Switch debugger:选择调试器
设置好调试器后,需要设置远程调试器信息(把想要调试器的服务器调试的可执行文件拷贝到调试器客户端,使用IDA打开,设置参数文件路径、服务端主机名称、ip地址等)
(10)脚本执行窗口:打开窗口后,可以选择执行脚本,在静态分析汇报代码时需要编写一些自动化脚本,通过该窗口执行,执行结果显示在前面的输出窗口。
(11)汇编代码注释编写:点击汇编窗口下的图标
(12)Xrefs graph to & Xrefs grap from:在函数名上点击右键,可以看到该函数被其他函数调用的信息或该函数调用其他函数的信息
三、参考:
https://www.freebuf.com/column/157939.html
https://blog.csdn.net/ilnature2008/article/details/54912854