第5章 IDA Pro

5.1 加载一个可执行文件

 

默认情况下IDA Pro的反汇编代码中不包含PE头或资源节，可以手动指定加载。

5.2 IDA Pro接口

5.2.1 反汇编窗口模式

二进制模式/图形模式：

图形模式：红色表示一个条件跳转没有被采用，绿色表示这个条件跳转被采用，蓝色表示一个无条件跳转被采用。箭头的方向显示程序的流程，向上的箭头表示一个循环条件。

文本模式：左侧部分被称为箭头窗口，显示了程序的非线性流程。实现标记了无条件跳转，虚线标记了条件跳转，朝上的箭头表示一个循环。

Tips:自动注释功能Options>General>Auto comments

5.2.2 对分析有用的窗口

函数窗口/名字窗口/字符串窗口/导入表窗口/导出表窗口/结构窗口

5.2.3 返回到默认视图

Windows>Reset Desktop

5.2.4 导航IDA Pro

5.2.5 搜索

5.3 使用交叉引用

交叉引用，在IDA Pro中被称为xref,可以告诉你一个函数或者字符在何处被调用。选中该函数或者字符串按下X键

5.4 分析函数

局部变量用前辍var_进行标记，而参数用前辍arg_来标记

5.5 使用图形选项

IDA Pro 6.6版本不存在该图形选项

5.6 增强反汇编

5.6.1 重命名位置

5.6.2 注释

5.6.3 格式化操作数

默认格式化为十六进制。

5.6.4 使用命名的常量

5.6.5 重新定义代码和数据

5.7 用插件扩展IDA