第一部分最頂部的是工具欄，它其中包括一些逆向分析過程中經(jīng)常使用的工具。

File 用來打開新建裝載一個應(yīng)用程序。 ?

Edit用來編輯反匯編代碼，可以用來復(fù)制篩選。

Jump 用來跳轉(zhuǎn)的，可以有很多類型的跳轉(zhuǎn)，可以進行一行上下位置，特地位置的跳轉(zhuǎn)，

還可以根據(jù)名字，函數(shù)來進行，跳轉(zhuǎn)到新窗口，跳轉(zhuǎn)到某一個偏移量。

Search 顧名思義就是用來搜索的。 ??

?View是用來選擇顯示方式的，或者顯示某一特定某塊的信息。比如樹形邏輯圖顯示，或者16進制顯示。還可以單獨顯示某一特定信息，比如輸入或者輸出表等。

Debugger ，調(diào)試器被集成在IDA中，首先我們使用IDA裝入文件，來生成數(shù)據(jù)庫，用戶可以使用反匯編功能，查看所有反匯編信息，這些均可以在調(diào)試器中進行和使用。

Options 在這里可以進行一下常規(guī)性的設(shè)置。

Windows 當前的窗口顯示界面。

Help 使用IDA的一些幫助文檔，檢查更新等等。

工具欄下面是導(dǎo)航欄，用來加載文件地址空間，不同的顏色代表不同類型的文件內(nèi)容，在導(dǎo)航欄下方列出了不同顏色所代表的文件內(nèi)容。可以放大或縮小導(dǎo)航條，點擊導(dǎo)航欄可以跳轉(zhuǎn)到對應(yīng)選中的位置。其中藍色代表代碼段，棕色代表數(shù)據(jù)段，綠色代表未知。

第二部分 Functions windows表示該程序的函數(shù)表，雙擊查看他的詳細信息。

第三部分 各窗口的功能：

IDA view: 定位要修改的代碼段在哪里，顯示了被加載文件的反匯編代碼，是我們靜態(tài)分析過程中最主要的窗口。

Hex view: 窗口也稱十六進制窗口，相當于一個十六進制的編輯器，可以直接對代碼和數(shù)據(jù)進行修改，用戶可以同時打開多個十六進制窗口。用來修改我們的數(shù)據(jù)

exports: 列出了被載入文件的所有導(dǎo)出函數(shù)，若載入文件沒有抹去符號，很多時候用戶可以直接在導(dǎo)出函數(shù)列表中找到入口函數(shù)。導(dǎo)出函數(shù)表窗口

import: 窗口為導(dǎo)入函數(shù)窗口，它會列出被分析的二進制文件導(dǎo)入的所有函數(shù)。導(dǎo)入函數(shù)表窗口

Structures窗口，在分析階段，IDA會查詢它的函數(shù)類型簽名擴展庫，設(shè)法將函數(shù)的參數(shù)類型和程序使用的內(nèi)存匹配起來。functions: 樣本的所有函數(shù)窗口

strings: 顯示了從被分析的二進制文件中提取出的字符串以及字符串所在的地址。 字符串顯示窗口，會列出程序中的所有字符串

Enums窗口，枚舉窗口與結(jié)構(gòu)體窗口類似，用戶同樣可以創(chuàng)建自定義聯(lián)合體。

第四部分 IDA常用快捷鍵功能

空格鍵:反匯編窗口切換文本跟圖形

Esc：在反匯編窗口中使用為后退到上個操作的地址處

Shift +F5:打開簽名窗口

shift+F12:自動分析出參考字符串

ALT+T:搜索字符串(文本搜索)

ALT+L:標記(Lable)

ALT+M:設(shè)置標簽(mark)

ALT+G:轉(zhuǎn)換局部變量為結(jié)構(gòu)體

ALT+Enter:跳轉(zhuǎn)到新的窗口

Alt+B:快捷鍵用于搜索十六進制字節(jié)序列，通常在分析過程中可以用來搜索opcode

CTRL+M:列舉出當前已經(jīng)添加的標簽

CTRL+S列舉出二進制程序的段的開始地址、結(jié)束地址、權(quán)限等信息

F9:動態(tài)調(diào)試程序(其實IDA主要用作靜態(tài)分析用的)

F5:將一個函數(shù)逆向出來(生成c偽代碼)

G:跳轉(zhuǎn)到指定地址

A:將選擇的信息轉(zhuǎn)換成ASCII(轉(zhuǎn)換成可讀性跟強的字符串)

X(ctrl+X):交叉引用,類似于OD中的?；厮莶僮?/span>

N:對符號重命名

:&;(冒號&分號):光標所在位置添加常規(guī)注釋和可重復(fù)注釋

P:創(chuàng)建函數(shù)

T:解析結(jié)構(gòu)體偏移

M:轉(zhuǎn)換為枚舉類型常量

Y:設(shè)置變量類型

H:轉(zhuǎn)換16進制

C:光標所在地址處的內(nèi)容解析成代碼

D:光標所在地址處的內(nèi)容解析成數(shù)據(jù)

A:光標所在地址處的內(nèi)容解析成ascll碼字符串

U:光標所在地址處的內(nèi)容解析成未定義內(nèi)容。

總結(jié)

以上是生活随笔為你收集整理的IDA pro 使用笔记的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。