逆向分析学习

OD只能调试32位的程序，IDA 不同于OD，既可以查看32位的程序编码，同时也能反编译64位的程序编码。

IDA 32位调试程序时，可以使用F5键来把汇编代码重新呈现除其C语言对应的代码逻辑；

IDA 根据PE结构来解析二进制代码，以区别出指令和数据。也就是操作符和操作数；

 

1.如何判断程序时32位还是64位

　　同时也需要判断PE的文件头，NT-->FilenameHeader-->machine来说明程序是在哪个平台上进行的；

　　PE..d†字样后的符号是一个64位文件。而crackme.exe的PE之后是：PE..L，所以这是一个32位文件；

 

Graph View和 Text View的相互转换，Graph View相对于Text View来说更加能了解程序的整体逻辑与架构，Text View则更适合用来查看相对应的汇编代码；

反编译的一些技巧总结：可以搜索关键Ascii码值，来定位关键字符/字符串，来定位到需要操作的代码片段，大大减少代码分析量；