随笔分类 - 逆向工程
摘要:IDA 的默认桌面如下图 工具栏区域(1)包含与 IDA 的常用操作对应的工具,可以使用 View -> Toolbar 显示或隐藏工具栏 可以使用 View -> Toolbars -> Advanced mode 打开高级模式工具栏,高级模式工具栏包含整整三排工具按钮 彩色的水平带是 IDA 的
阅读全文
摘要:生成数据库文件 把要分析的文件用 IDA 打开后,会生成 3 个数据库文件 扩展名分别为 .id0,id1,nam .id0 文件是一个二叉树形式的数据库 .id1 文件包含描述每个程序字节的标记 .nam 文件包含与 IDA 的 Names 窗口中显示的给定程序位置有关的索引信息 点击 OK 后,
阅读全文
摘要:启动 IDA 启动 IDA,有一个欢迎界面 之后有一个对话框 选择 New 将启动一个对话框来选择将要分析的文件 选择 Go 将使 IDA 打开一个空白的工作区 如果要选择分析的文件,可以直接拖到 IDA 工作区 也可以在菜单栏选择 File -> Open 来打开 选择 Previous 可以打开
阅读全文
摘要:mul 是乘法指令 两个相乘的数:两个相乘的数,要么都是 8 位,要么都是 16 位。 如果是 8 位,一个默认放在 AL 中,另一个放在 8 位寄存器或内存字节单元中; 如果是 16 位,一个默认在 AX 中,另一个放在 16 位寄存器或内存字单元中 结果:如果是 8 位乘法,结果默认放在 AX
阅读全文
摘要:R 命令:查看、修改寄存器的内容 -r:查看寄存器的内容 CS=0AF9,IP=0100,也就是说内存 0AF9:0100 处的指令为 CPU 当前要读取、执行的指令 Debug 也列出了 CS:IP 所指向的内存单元处所存放的机器码,并将它翻译成汇编指令 从上图可以看到,CS:IP 所指向的内存单
阅读全文
摘要:div 是除法指令 除数:有 8 位和 16 位两种,在一个 reg 或内存单元中 被除数:默认放在 AX 或 DX 和 AX 中,如果除数为 8 位,被除数则为 16 位,默认在 AX 中存放;如果除数为 16 位,被除数则为 32 位,在 DX 和 AX 中存放,DX 存放高 16 位,AX 存
阅读全文