IDA Pro(简称IDA)是DataRescue公司(home of PhotoRescue, data recovery solution for flash memory cards)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名、结构定义、数组等定义等。这样的交互能力在反汇编大型软件时显得尤为重要。多处理器特点是指IDA支持常见处理器平台上的软件产品。IDA支持的文件类型非常丰富,除了常见的PE格式,还支持Windows,DOS,UNIX,Mac,Java,.NET等平台的文件格式。
1、EXE文件是属于PE文件的一种。
2、PE文件的全称是Portable Executable,意为可移植的执行体是,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)
用到的工具有IDA pro 7.0 ,被反汇编的是百度云(BaiduNetdisk_7.2.8.9.exe)
界面:
共有(File , Edit , Jump , Search , View , Debugger , Options , Windows , Help)9个模块,还有下面的诸多小菜单。
现在我们点击File,选择Open打开一个文件,这里我们选择百度云盘PC端安装程序,出现如下图示:
这里我们直接默认OK即可。
此时,我们看到的视图是这样的:
然后我们对各个部分进行标号,单独进行介绍:
第一部分表示的是对不同代码块使用不同的颜色进行区分,我们可以直接点击相应的颜色块进行不同代码块的定位。
蓝色:表示代码段。
棕色:表示数据段。
红色:表示内核。
第二部分表示该程序的函数表,双击后可查看详细信息。
该函数对应的IDA View-A如下:
第三部分对应的就是整体程序或者某个函数的图标概述形式,可以大体把握功能和结构的走向。对整体的脱壳逆向有很大的帮助。
第四部分主要可以显示以下6部分信息:
(1)IDA View-A
(2)Hex View-1
(3)Structures
(4)Enums
(5)Imports
(6)Exports
其中IDA View-A表示的就是某个函数的图标架构,可以查看程序的逻辑树形图,把程序的结构更人性化地显示出来,方便我们的分析。
具体表示形式,上文中有截图可参考。
在Hex View-1中可以查看16进制代码,方便定位代码后使用其他工具修改,具体表示如下图所示:
在Stuuctures中可以查看程序的结构体:
在Enums中可以查看枚举信息:
在Imports中可以查看到输入函数,导入表即程序中调用到的外面的函数:
在Exports中可以查看到输出函数:
本文始发于微信公众号(盾山实验室):IDA使用学习
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论