随笔分类 -  IDA使用技巧

[IDA]结构体指针的转换
摘要:[IDA]结构体指针的转换 今天在分析恶意代码时,发现其复制一份PE文件,其对PE头部进行许多步处理,但是IDA并不能识别这些变量,因此需要我们手动来添加,但是随之而来的一个问题是,IDA有标准的PE结构体,但是却没有指针,因此我们就需要重定义变量。 一、如何判断对PE文件的操作 结合之前分析这是一 阅读全文
posted @ 2020-03-22 11:33 OneTrainee 阅读(1715) 评论(0) 推荐(0)
[ida]使用pycharm编写IDApython
摘要:使用pycharm来编写IDApython 一、导入IDApython的模块 IDA目录下有一个Python目录,将其添加到项目的跟目录下。 放到python项目目录下 修改文件夹属性,否则会出现引用报错 二、配置python2.7解释器 使用IDA中自带的python解释器(免安装版都会打包pyt 阅读全文
posted @ 2020-03-05 12:11 OneTrainee 阅读(2657) 评论(5) 推荐(1)
[OD]地址解析设置跳转指定API
摘要:[OD]地址解析设置 CRTL+G 跳转到API函数时失败,这时设置这里,然后重启就好。 阅读全文
posted @ 2020-01-12 16:30 OneTrainee 阅读(1406) 评论(0) 推荐(0)
[IDA] F5时参数识别错误的修正策略
摘要:[IDA] F5时参数识别错误的修正策略 一. 错误现象 二. 修改方法: 1. 右键变量名,设置修改类型 2. 修改其对应的变量类型 3. 修改后的效果 阅读全文
posted @ 2020-01-09 21:40 OneTrainee 阅读(2414) 评论(1) 推荐(0)
[OD] 搜索内存
摘要:[OD] 搜索内存 一、在OD内存窗口中使用Ctrl+B搜索 二、Ctrl+L,搜索下一个 阅读全文
posted @ 2020-01-09 18:44 OneTrainee 阅读(1383) 评论(0) 推荐(0)
[IDA] 显示反汇编字节码
摘要:[IDA] 显示反汇编字节码 一、Options - General 二、Disassembly 中将 Numberxx 改为9,并点击确定即可。 阅读全文
posted @ 2020-01-09 18:41 OneTrainee 阅读(3089) 评论(0) 推荐(1)
[IDA] 将ANSI字符串转换为Unicode字符串
摘要:[IDA] 将ANSI字符串转换为Unicode字符串 如图所示,一个无法识别的字符串。 1. 双击字符串,跳转到字符串目录当中。 2. 鼠标光标移到这里(不用选中),工具栏中 Options - String literals。 3. 选中 Unicode 4. 此时结果就会改变 5. 当然,如果 阅读全文
posted @ 2020-01-09 16:03 OneTrainee 阅读(3161) 评论(0) 推荐(0)
[OD] OD分析错误(将汇编指令识别为字符串)时的解决办法
摘要:[OD] OD分析错误(将汇编指令识别为字符串)时的解决办法 如图,直接从"分析"中点击"删除OD的分析"即可。 阅读全文
posted @ 2020-01-07 10:23 OneTrainee 阅读(783) 评论(0) 推荐(0)
[OD] 字符串搜索技巧
摘要:[OD] 字符串搜索技巧 使用OD字符串搜索,注意其搜索的模块。 1. 如果使用“工具栏”上的“插件”搜索,会搜索当前CPU模块中的字符串。 2. 如果想搜索指定模块,打开"E",找到对应模块地址,跳转过去,然后右击开始搜索。 阅读全文
posted @ 2020-01-07 10:12 OneTrainee 阅读(8589) 评论(0) 推荐(0)
[IDA] 自动下载符号
摘要:当现实无法自动下载符号时,看下面交互窗口,提示安装 VC++ 2008。 安装成功之后就会自动下载符号。 阅读全文
posted @ 2019-12-03 18:35 OneTrainee 阅读(952) 评论(0) 推荐(0)
[IDA]批量载入结构体
摘要:我们之前介绍了如果单独定义一个C结构体并转换为IDA中的结构体。 但是,在内核中有很多庞大的结构体,一环接着一环,手动导入不现实。 还存在一个问题,可能大小格式不匹配。 之前有一位老哥推荐我一个工具:利用 Symbol Type Viewer 工具实现将 pdb 文件 转换为 c\c++ 头文件 发 阅读全文
posted @ 2019-11-18 16:57 OneTrainee 阅读(1882) 评论(0) 推荐(1)
[IDA]修改变量类型、删除变量名
摘要:1. 双击变量 2. 按D转换类型(Word、Byte、Dword) 3. 按U删除变量名 4. 按N修改变量名 阅读全文
posted @ 2019-11-17 22:00 OneTrainee 阅读(3905) 评论(0) 推荐(0)
[IDA]系统注释给改掉
摘要:IDA系统自动注释的,如果按 ';',则不会修改成功。 应该按 Shift + ; 这样才可以修改。 阅读全文
posted @ 2019-11-17 21:32 OneTrainee 阅读(507) 评论(0) 推荐(0)
[IDA] 将连续的单个变量值修改为结构体
摘要:直接选中最上边的结构体,使用ALT+Q来进行修改。 阅读全文
posted @ 2019-11-05 18:29 OneTrainee 阅读(804) 评论(0) 推荐(0)
[IDA] 将变量索引进行计算
摘要:按 k 键 [ebp+var+arg_0] - > [ebp+value] 阅读全文
posted @ 2019-11-04 10:03 OneTrainee 阅读(264) 评论(0) 推荐(0)
IDA中查看某函数引用问题
摘要:按X键,即可列出哪个部分引用该函数。 阅读全文
posted @ 2019-11-03 09:57 OneTrainee 阅读(2954) 评论(0) 推荐(0)
IDA分析时添加新的C语言结构体
摘要:View - Open Subviews - Local Type - INSERT键 - 输入新结构体 - 右击"Synchornize to idb" 之后再分析处按 T 就可以看到该结构体,进行解析。 阅读全文
posted @ 2019-11-01 18:41 OneTrainee 阅读(1856) 评论(0) 推荐(0)