5.1 加载一个可执行文件
默认情况下IDA Pro的反汇编代码中不包含PE头或资源节,可以手动指定加载。
5.2 IDA Pro接口
5.2.1 反汇编窗口模式
二进制模式/图形模式:
图形模式:红色表示一个条件跳转没有被采用,绿色表示这个条件跳转被采用,蓝色表示一个无条件跳转被采用。箭头的方向显示程序的流程,向上的箭头表示一个循环条件。
文本模式:左侧部分被称为箭头窗口,显示了程序的非线性流程。实现标记了无条件跳转,虚线标记了条件跳转,朝上的箭头表示一个循环。
Tips:自动注释功能Options>General>Auto comments
5.2.2 对分析有用的窗口
函数窗口/名字窗口/字符串窗口/导入表窗口/导出表窗口/结构窗口
5.2.3 返回到默认视图
Windows>Reset Desktop
5.2.4 导航IDA Pro
5.2.5 搜索
5.3 使用交叉引用
交叉引用,在IDA Pro中被称为xref,可以告诉你一个函数或者字符在何处被调用。选中该函数或者字符串按下X键
5.4 分析函数
局部变量用前辍var_进行标记,而参数用前辍arg_来标记
5.5 使用图形选项
IDA Pro 6.6版本不存在该图形选项
5.6 增强反汇编
5.6.1 重命名位置
5.6.2 注释
5.6.3 格式化操作数
默认格式化为十六进制。
5.6.4 使用命名的常量
5.6.5 重新定义代码和数据
5.7 用插件扩展IDA
