虽然在一般情况下，正确的反汇编问题是无法解决的，但在实践中可以非常接近。IDA使用各种启发式方法来改进反汇编并使其更易读，例如在“看起来合理”的情况下将数值转换为偏移量。然而，这并不总是可靠或成功的，可能会遗漏一些。为了帮助您手动改进，在某些情况下，IDA可以给您一个提示。

可疑性限制

在IDA的选项对话框的反汇编选项卡上，有两个字段：低可疑性限制和高可疑性限制。它们是什么意思？

每当IDA输出一个数值在该范围内的指令操作数，并且尚未明确设置类型（即具有默认的void类型）时，它将使用一种特殊颜色（在默认配色方案中为橙色）：

在这种情况下，您可以，例如，将鼠标悬停在该值上，以查看目标是否看起来像一个有效的目的地，并使用快捷键（O）或通过上下文菜单将其转换为偏移量。

更改可疑性限制

限制的初始值取自输入文件的加载地址范围。如果有效地址范围发生变化（例如，如果您重定位数据库或创建额外的段），更新范围可能是有意义的，这样您可以看到更多潜在的地址。相反，您也可以更改这些值以排除一些不太可能是有效地址的范围，以减少误报。

学习资源

立即关注【二进制磨剑】公众号