- IDA View-A 反汇编窗口(图形视图和文本视图)
- Hex View-1 十六进制窗口
- Struceures 结构体窗口
- Enums 枚举窗口
- Imports 导入函数窗口
- Exports 导出函数窗口
显示与每个反汇编行有关的其他信息
通过Options▶General命令打开IDA常规选项
图形视图
IDA图形视图会有执行流,Yes箭头默认为绿色,No箭头默认为红色,蓝色表示默认下一个执行块。我们可以在左侧查看代码的运行过程,按下空格键也可以直观地看到程序的图形视图。
文本视图
1.虚拟地址:
以[区域名称]:[虚拟地址]这种格式显示,如.text:004011C1
2.左边箭头:
实线箭头表示非条件跳转,虚线箭头则表示条件跳转,如果一个跳转(条件或非条件)回到以前的某个地址,这时会使用粗线(实线或虚线),通常表示程序中存在循环
image.png
IDA技巧1 : string
提取文件中的字符串内容,如果看到一些文件字符串可以定位到关键的函数中。
view -> open subview -> string
IDA技巧2 :图形化与视图的切换-空格
选择 Options -> General-> use graph view by default选项取消,就可以用空格键在图形视图与列表视图之间切换。
IDA技巧3 :图形化显示反汇编地址
选择 Options -> General- Disassembly,行前缀可以显示反汇编地址。
IDA技巧4 :自动注释
通过Option->General->Auto Comments即可。
IDA快捷键使用指南
【A】:转换为字符串
【C】:转换为代码
【D】:转换为数据
【U】:转换为未定义数据
【X】:查看交叉引用
【Y】:修改类型
【N】:修改名称
【G】:转到指定地址
【H】:十进制和十六进制转换
【Shift+F12】:查看字符串
【Ctrl+鼠标滚轮】:调整流程视图大小
【Alt+M】:给某个地址设置标签
【Ctrl+M】:跳转到标签。这个很常用。配合Alt+M当分析比较多的代码时,想快速定位到用户自己设置的某个标签注释时需要这个。
【Alt+T】:搜索字符串,此功能不仅仅可以搜索字符串,也能搜索代码
【Ctrl+B】:搜索下一个字符串
【Alt+B】:搜索二进制序列
【Ctrl+B】:搜索下一个二进制序列
【Ctrl+W】:保存IDA数据库
【Ctrl+Shift+W】:拍摄IDA快照
【F5】:查看伪代码
【Tab】:实现伪代码和汇编指令之间的切换,并将光标移动到对应代码处
【/】:在反汇编伪代码窗口写注释
【\】:在反汇编伪代码窗口隐藏变量类型描述
【Esc】:在反汇编窗口中,返回到上一步操作的位置
【空格】:在反汇编窗口中,切换图形视图与列表视图
【P】:将数据转换为函数
【C】:将数据转换为代码
【P】和【C】的区别:C无法识别栈帧,就算已经到了函数尾部,也不会出现end of function
【分号;】:重复注释
【冒号:】:普通注释
【;】和【:】的区别:重复注释后会在所有引用到的地方都出现注释,可能会导致注释覆盖问题。
网友评论