ida能够剖析的文件格局也十分多,包含windows下的pe格局文件(.exe、.dll、.sys)、linux 下的elf文件(.elf、.so,安卓的JNI库同理)、mac体系的罕见文件格局,以及一些不罕见到体系的文件格局。
ida的功效强盛,对个别的无壳维护,无混杂代码的顺序ida能直接反汇编出位代码(在进入函数代码地区后按F5快捷键),在必定水平上增加了逆向剖析的难度跟门槛。
一、启动剖析
IDA分为x64跟x86两个差别的版本,装置时会同时装置上,图标如下,图标上有64字样的就是特地用来剖析64位顺序的:
剖析32位或64位的顺序须要启动的IDA版本差别,不便利断定顺序是32仍是64位的话,最简略的方法就是同时启动这两个版本,再分辨加载统一个要剖析的顺序停止剖析,能胜利剖析的谁人就是准确的版本。
启动软件后的第一个界面如下,单击“Go”按钮即可直接进入软件:
把要剖析的文件拖入IDA的主窗口后:
这时间直接点击“OK”即可开端剖析,剖析进程中呈现相似上面如许的提醒,抉择“No”即可:
此时软件窗口左下方会有正在剖析的进度表现,直到表现“AU: idle”即表现剖析实现:
此时软件会主动跳转到Graph view形式:
这欧易交易所时在IDA Vi欧易交易所ew-A子窗口内单击右键,选“Text view”即可切换到代码形式:
二、函数搜寻
左侧的Functions window为剖析出的函数列表,双击此中恣意一行都能够跳转到对应的函数:
在该列表获得核心的情形下,按Ctrl+F能够翻开函数搜寻栏,输入要搜寻的函数要害字,即可搜寻合乎前提的函数:
三、代码剖析
双击对应的函数称号后,右侧的IDA view-A会定位跳转到对应函数并表现出汇编代码:
此时按键盘上的F5键,即可主动反编译出该函数的伪代码:
这时双击右边的函欧易交易所数列表,能够在右侧的Pseudocode-A代码区反编译出对应函数的伪代码,在伪代码中双击挪用的函数称号,能够跳转并主动反编译这个挪用的函数(条件是该函数的代码在该顺序外部,而不是外欧易交易所部的挪用)。
伪代码包括了应用的变量跟挪用的函数跟响应的参数等,固然可读性不是很高,但曾经在必定水平上表现出了顺序欧易交易所外部的逻辑构造,包含一些字符串都市主动以明文方法表现,对提取二进制文件外部的信息起很年夜的辅助。
文章起源:https://www.hake.cc/page/article/1688.html
知乎、头条、百家、大众号搜寻【哈客部落】
还没有评论,来说两句吧...