5.1 加載一個可執行文件
?
默認情況下IDA Pro的反匯編代碼中不包含PE頭或資源節,可以手動指定加載。
5.2 IDA Pro接口
5.2.1 反匯編窗口模式
二進制模式/圖形模式:
圖形模式:紅色表示一個條件跳轉沒有被采用,綠色表示這個條件跳轉被采用,藍色表示一個無條件跳轉被采用。箭頭的方向顯示程序的流程,向上的箭頭表示一個循環條件。
文本模式:左側部分被稱為箭頭窗口,顯示了程序的非線性流程。實現標記了無條件跳轉,虛線標記了條件跳轉,朝上的箭頭表示一個循環。
Tips:自動注釋功能Options>General>Auto comments
5.2.2 對分析有用的窗口
函數窗口/名字窗口/字符串窗口/導入表窗口/導出表窗口/結構窗口
5.2.3 返回到默認視圖
Windows>Reset Desktop
5.2.4 導航IDA Pro
5.2.5 搜索
5.3 使用交叉引用
交叉引用,在IDA Pro中被稱為xref,可以告訴你一個函數或者字符在何處被調用。選中該函數或者字符串按下X鍵
5.4 分析函數
局部變量用前輟var_進行標記,而參數用前輟arg_來標記
5.5 使用圖形選項
IDA Pro 6.6版本不存在該圖形選項
5.6 增強反匯編
5.6.1 重命名位置
5.6.2 注釋
5.6.3 格式化操作數
默認格式化為十六進制。
5.6.4 使用命名的常量
5.6.5 重新定義代碼和數據
5.7 用插件擴展IDA
)
)
