逆向入门学习之IDA和OllyDBG

原创文章逆向破解渗透技术

原创声明：转载本文请标注出处和作者，望尊重作者劳动成果！感谢！

一、IDA

    IDA是一款交互式的反汇编器，为众多0day世界的成员和ShellCode安全分析人士提供了技术支持。IDA主界面主要是:

IDA View（三种反汇编视图:文本视图、图表视图、路径视图）
Hex View（十六进制窗口）
Imports（导入函数窗口）
Struceures（结构体窗口）
Exports（导出函数窗口）
Enums（枚举窗口）
Strings（字符串窗口）

其中最常用到的就是IDA View、Hex View，在IDA View在IDA View中按F5可以生产C代码查看，也可以将整个保存为C文件进行查看。

而在Hex View中按F2可直接编辑16进制数据。

IDA的使用也很方便，只需将文件拖入即可，然后IDA View该区域是IDA的主要功能区域，具有很多特性，如相同字符串高亮、双击函数名或引用变量名可调整到对应的跳转地址等，主要操作如下：

字符串搜索：Alt+T    下一个：Ctrl+T
空格键:切换文本视图与图表视图
ESC:返回上一个操作地址
G:搜索地址和符号
N:对符号进行重命名
冒号键:常规注释
分号键:可重复注释
Alt+M:添加标签
Ctrl+M:查看标签
Ctrl+S:查看段的信息
代码数据切换
C-->代码/D-->数据/A-->ascii字符串/U-->解析成未定义的内容
X:查看交叉应用
F5:查看伪代码
Alt+T:搜索文本
Alt+B:搜索十六进制

上手体验一下IDA的魅力。在练习题目中有一个re1的文件，需要从中获取flag。

    将此文件拖入IDA中查看。

F5得到类似C的伪代码。

从中可以看到flag的内容。

二、OllyDBG

除了IDA，逆向的另一款工具OllyDBG也是深受安全使用者的喜爱与追捧，OllyDebug是一个反汇编工具，一个新的动态追踪工具，将IDA与SoftICE结合起来的思想，Ring 3 级的调试器，己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能，是目前最强大的调试工具。常用指令如下：

OllyDBG的使用一如既往地方便，接下来用一个小实验来讲解一下OllyDBG的使用方法。

只要你输入的东西是错误的，就会弹出英语提示框one of the details you entered war wrong。我们要做到的就是把这个英语给汉化成中文的形式呈现出来。首先把这个exe文件拖入OllyDBG里面进行调试解密。

右键选中中文搜索引擎-->智能搜索，可以清楚看到该字符串，点击该字符串就可以跳转到对应的位置进行查看编写。

右键follow in dump，定位到这个立即数的位置，方便我们作进一步的修改。

定位到立即数之后很快就可以找到相对应的字符，选定你想要修改的字符按下CTRL+E可以对字符进行修改。

修改完成后，选中我们修改的地方，右键-->copy to executable file-->右键-->save file，重新打开程序，输入框的标题和内容变成了中文。

本文始发于微信公众号（Fighter安全团队）：逆向入门学习之IDA和OllyDBG