IDA使用技巧

March 4, 2019 工具 访问: 113 次

之前没有仔细的去了解过这个工具,只是看着别人咋用我也就跟着咋用,今儿偶尔发现有人总结了,我感觉挺好的!参考自:IDA Pro7.0使用技巧总结

有一本书是专门介绍IDA的使用的,书名《IDA pro权威指南》,网上有印刷版的PDF,可以用来参考一下。

常用快捷键

按键 作用
a 将数据转换为字符串
f5 一键反汇编
esc 回退键
ctrl+enter 前进键
shift+f12 打开string窗口,右键点击setup可以对窗口属性进行设置
ctrl+w 保存数据库
ctrl+s 选择投个数据段,直接进行跳转
x 对某个函数、变量按该快捷键,可以查看它的交叉引用
g 直接跳转到某个地址
n 改变变量的名称
y 更改变量的类型
/ 在反编译后伪代码的界面中写下注释
: 在反汇编后的界面写下注释
|隐藏伪代码界面中的变量和函数的类型描述
ctrl+shift+w 拍摄快照,这个应该是和在VMware中拍虚拟机的快照是一个性质的,我是这么理解的

常用的操作

操作步骤 作用
option --> font 修改字体的相关属性
windows-->reset desktop 恢复IDA的主界面布局
option --> general 勾选line prefixes 在流程视图中添加地址偏移
option --> general 勾选auto comments 自动添加反汇编注释
edit --> array 将数据转换成数组
view --> graphs--> Function calls(ctrl+f12) 查看函数之间是如何互相调用的
view-->graphs-->flowt chart(F12) 将程序流程以一张图片的形式来显示

打patch

我之前用的是edit --> patch program --> assemble ,然后这只是修改,并没有保存到原文件当中,保存到原文件的方法:edit --> patch program --> apply patchs to input file
另外一种方法是利用一个叫Keypatch的插件,资源地址 ,看别人用的挺方便的,可惜我没装上,emmm

常见命名

  • sub 指令和子函数起点
  • locret 返回指令
  • loc 指令
  • off 数据,包含偏移量
  • seg 数据,包含段地址值
  • asc 数据,ASCII字符串
  • byte 数据,字节(或字节数组)
  • word 数据,16位数据(或字数组)
  • dword 数据,32位数据(或双字数组)
  • qword 数据,64位数据(或4字数组)
  • flt 浮点数据,32位(或浮点数组)
  • dbl 浮点数,64位(或双精度数组)
  • tbyte 浮点数,80位(或扩展精度浮点数)
  • stru 结构体(或结构体数组)
  • algn 对齐指示
  • unk 未处理字节
  • dd 一个字节
  • dw 两个字节
  • dd 四个字节

当然这不是很全,以后有用到的再总结

添加新评论