IDA Pro 权威指南学习笔记(一) - 启动 IDA

启动 IDA

启动 IDA，有一个欢迎界面

之后有一个对话框

选择 New 将启动一个对话框来选择将要分析的文件

选择 Go 将使 IDA 打开一个空白的工作区

如果要选择分析的文件，可以直接拖到 IDA 工作区

也可以在菜单栏选择 File -> Open 来打开

选择 Previous 可以打开其下“最近用过的文件”列表中的一个文件

历史记录列表的最大长度为 10，可以通过编辑 idagui.cfg 或 idatui.cfg 来修改

文件加载

选择 File -> Open 打开一个新文件，会显示一个加载对话框

文件类型列表，列表中将显示最适合处理选定文件的 IDA 加载器

IDA 通过执行 loaders 目录中的每一个文件加载器，来确定能够识别新文件的加载器，从而建立了这个列表

上图中 Windows PE 加载器（pe.ldw）和 MS-DOS EXE 加载器（dos.ldw）均声称它们能够识别选定的文件，因为 PE 文件格式是 MS-DOS EXE 文件格式的扩展形式

Binary File（二进制文件）是这个列表中的最后一个选项，它会一直显示，因为它是 IDA 加载无法识别的文件的默认选项，它提供了最低级的文件加载方法

如果只有 Binary File，这表明没有加载器能够识别选定的文件

Processor Type（处理器类型）下拉菜单中可以指定在反汇编过程中使用的处理器模块（在 IDA 的 procs 目录中）

多数情况下，IDA 将根据它从可执行文件的头中读取到的信息，选择合适的处理器

如果 IDA 无法正确确定与所打开的文件关联的处理器类型，在继续文件加载操作前，需要手动选择一种处理器类型

Loading Segment（加载段），Loading Offset（加载偏移量），如果同时选择了二进制文件输入格式和一种 x86 系列处理器，Loading Segment 和 Loading Offset 字段将处于活动状态

由于二进制加载器无法提取任何内存布局信息，在这里输入的段和偏移量值将共同构成所加载文件内容的基址

在最初的加载过程中，如果忘记指定基址，可以在任何时候使用 Edit -> Segments -> Rebase Program 命令来修改 IDA 镜像的基址

Kernel Options（核心选项）用于配置特定的反汇编分析选项，IDA 可利用这些选项改进递归下降过程

绝大多数情况下，默认选项提供的都是最佳的反汇编选项

Processor Options（处理器选项）用来选择适用于选中的处理器模块的配置选项，但它不一定对每个处理器模块有效

其他选项复选框可帮助用户更好地控制文件加载过程