IDA Pro 權威指南閱讀摘要1

文件加載
使用File->Open命令打開一個新文件時，會看到加載對話框。
Binary File （二進制文件）是加載類型列表的最后一個選項，它是IDA加載無法識別的文件的默認選項。
在Processor Type下拉菜單中可以指定在反匯編過程中使用的處理器模塊（在IDA的procs目錄中）。
多數情況下，IDA將根據它從可執行文件的頭中讀取到的信息，選擇合適的處理器。
如果同時選擇了二進制文件輸入格式和一種x86系列處理器，Loading Segment（加載段）和Loading Offset（加載偏移量）字段將處于活動狀態。

?

使用二進制文件加載器
如果選擇使用二進制加載器，沒有文件頭信息引導分析過程。
需要使用二進制加載器的情形包括：分析從網絡數據包或日志文件中提取出來的ROM鏡像和破解程序負載。
如果選擇一個x86類型的處理器，則必須在加載對話框的Loading Segment和Loading Offset字段中指定基址信息。
IDA會提醒用戶指定文件中的一個地址作為入口點。

?

基本IDA導航
IDA將生成并顯示一個完整的交叉引用列表。多數情況下，到導航到感興趣的位置，只需雙擊鼠標。
反匯編程序時，程序的每個位置都分配到了一個虛擬地址。只要提供希望訪問的位置的虛擬地址，就可以導航到程序的任何地方，但是大量地址不容易記住。早期的程序員給他們希望引用的程序位置分配符號名稱。
在分析階段，IDA會通過檢查二進制文件的符號表生成符號名稱，或根據二進制文件引用位置的方式自動生成一個名稱。
在各種子窗口中，雙擊一個名稱，IDA將跳轉到反匯編窗口中被引用的位置。

?

快速庫識別和鑒定技術
庫快速識別和鑒定技術，簡稱FLIRT，IDA用于識別庫代碼的一組技術。核心是各種模式匹配算法。

?

跳轉表與分支語句
C語言的switch語句經常成為編譯器優化的目標。

?

========

?

在Windows上安裝IDA時，IDA會創建注冊表項 HKEY_CURRENT_USER\Software\Hex-Rays\IDA。

Load new file 對話框
? ? 如果同時選擇了二進制文件輸入格式和一種x86系列處理器，Loading Segment（加載段）和Loading Offset（加載偏移量）字段將處于活動狀態。
? ? 在最初的加載過程中，如果忘記指定基址，可以在任何時候使用Edit-Segments-Rebase Program命令來修改IDA鏡像的基址。
? ? Kernel Options（核心選項）按鈕用于配置特定的反匯編分析選項，IDA可利用這些選項改進遞歸下降過程。

IDA 數據庫文件
? ? 將選定的可執行文件加載到內存中，隨后，IDA會創建一個數據庫，其組件分別保存在4個文件中，這些文件的名稱與選定的可執行文件的名稱相同，擴展名分別為.id0、.id1、.nam和.til。.id0是一個二叉樹形式的數據庫，.id1文件包含描述每個程序字節的標記。.nam文件包含與IDA的Names窗口中顯示的給定程序位置有關的索引信息。.til文件用于存儲與一個給定數據庫的本地類型定義有關的信息。

函數窗口
? ? 用于列舉在數據庫中識別的每一個函數。一個條目如下：
malloc ? ? ? ?.text ? ? ? ?00BDC260 00000180 R...B..
? ? 此條目解釋如下：
? ? 可以在二進制文件中虛擬地址為00BDC260的.text部分找到malloc函數；
? ? 該函數長384字節，十六進制為180字節；
? ? 它返回調用方R，并使用EBP寄存器B引用它的局部變量；
? ??
結構體窗口
? ? 結構體窗口用于顯示IDA決定在一個二進制文件中使用的任何復雜的數據結構（如C結構體和聯合）的布局。
? ? 在分析階段，IDA會查詢它的函數類型簽名擴展庫，設法將函數的參數類型與程序使用的內存匹配起來。
?

總結

以上是生活随笔為你收集整理的IDA Pro 权威指南阅读摘要1的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。