簡介
ida可以分析的檔案格式也非常多 包括windows下的pe格式檔案(.exe .dll .sys)linux 下的elf檔案(.elf .so )mac系統的常見檔案格式,以及一些不常見到系統的檔案格式。
ida的功能強大,對于一般的無殼保護,無混淆代碼的程式ida能直接反彙編出位代碼(F5快捷鍵),在一定程度上減少了逆向分析的難度和門檻。
ida分為32位和64位,在進行逆向分析時選擇32-bit IDA分析32位程式,64-bit IDA 分析64位程式。
一般來說直接ok打開,ida會幫你識别程式的類型
中間的視窗是反彙編視窗
可以切換成不同顯示方式
F5可以轉到C語言,(快捷鍵f5,f5大法好啊)直接能閱讀到僞c代碼,或者tab鍵
hex dump:直接檢視程式的二進制内容(以hex值表示)
一般用于直接查找存在程式中的明文字元串和動态調試時的内容檢視
Functions_wiondow:函數表(重要)用于分析每一個單獨的函數
在逆向分析中往往都是直接利用Function_windows 查找關鍵函數開始對整個程式進行分析
該視窗提供ctrl+F 的搜尋功能 例如可以直接ctrl+f 定位到main函數
導入表,程式所使用的外部導入函數
程式中引用的字元串 IDA的使用
按x可以直接找到所有引用該字元串的位置
程式區段