IDA静态编译之sub

int __thiscall sub_10009800(const wchar_t *this, int a2, int a3, HKEY hKey)
{

}

说明：__thiscall  dll内子函数

const wchar_t *this  类的对象函数

 

 

【转】

• 在使用IDA使用之前,一定要分析出对象是用什么语言来编写的,然后可以用IDA的签名,将大大增加可读性
• 利用IDA找到导入表,然后通过一些比较明显的API入手,加上交叉引用ctrl+x---->到达上一层,找到调用这个API的函数,然后针对这个函数,再次应用交叉引用,找到调用这个函数的母函数--->最终会找到OEP附近
• 在导入表里面,可以按CTRL+F,出现搜索栏,在里面比如输入reg,就可以得到与注册表相关的API
• 一般用浅颜色标注的地址为系统函数,一般用黑色标注的地址为非系统函数;
• 在IDA中改基址,edit--->segment--->rebase program，OD里面查看当前模块即可

 
链接：https://www.jianshu.com/p/b483de9b1811