随笔分类 -  IDA学习

IDA Pro权威指南-反汇编操作
摘要:修改名称,快捷键N 最大名称长度对应IDA的配置文件,/cfg/ida.cfg : 可以打开注释窗口。 快捷键U可以取消已定义项目 快捷键C可以反汇编一组未定义字节 快捷键D可以切换数据类型 简单的总结一下0.0 阅读全文
posted @ 2019-05-20 16:49 s1lenc3 阅读(720) 评论(0) 推荐(0)
IDA Pro权威指南-反汇编导航
摘要:跳转地址,快捷键G,输入地址或16进制数,即可跳转到指定地址。 IDA可后退前进,还有历史记录。回退快捷键Esc。 栈帧 函数运行时分配的内存块。 调用函数步骤: 1.调用方将被调用函数的参数放入指定位置。 2.将控制权交给被调用函数 由 x86 call 或MIPS JAL等执行。并将返回地址保存 阅读全文
posted @ 2019-05-10 16:12 s1lenc3 阅读(1224) 评论(0) 推荐(0)
IDA Pro权威指南-窗口
摘要:Names窗口 列举名称。 F 常规函数,IDA认为不属于库函数 L 库函数 I 导入的共享库的函数的名称 G 命名代码 D 数据 A 字符串数据 Strings窗口 显示程序中的字符串。 可以自行设置显示什么。 导出窗口 列出文件入口点。 导入窗口 列出二进制文件导入的所有函数。 结构体窗口 显示 阅读全文
posted @ 2019-05-08 22:07 s1lenc3 阅读(271) 评论(0) 推荐(0)
IDA Pro权威指南-IDA入门
摘要:选择加载器,一般默认就可。 加载文件时,有4个数据可文件。id0二叉树形式数据库。id1文件包含描述每个程序字节的标记。nam 与name窗口有关的索引。til 存储与一个给定数据库的本地类型定义有关的信息。 关闭文件时, Don‘t pack 不创建IDb pack database(store) 阅读全文
posted @ 2019-05-07 12:23 s1lenc3 阅读(1512) 评论(0) 推荐(0)
IDA Pro权威指南-工具
摘要:file 检查文件确定文件类型。 PEtools 分析windows进程和可执行文件的工具。 nm 列举目标文件中的符号。 U 未定义符号,通常为外部符号的引用。 T 在文本部分定义的符号,通常为函数名称。 t 在文本部分定义的局部符号。C程序中,相当于静态函数。 D 已初始化的数据值。 C 未初始 阅读全文
posted @ 2019-05-06 21:41 s1lenc3 阅读(406) 评论(0) 推荐(0)
逆向学习-IDApython(三)
摘要:操作数 idc.GetOpType(ea,n)获取操作数类型。ea是地址,n是索引。 o_void 如果指令没有任何操作数,它将返回 0。 o_reg 如果操作数是寄存器,则返回这种类型,它的值为 1 o_mem 如果操作数是直接寻址的内存,那么返回这种类型,它的值是 2,这种类型对寻找 DATA的 阅读全文
posted @ 2019-05-04 22:55 s1lenc3 阅读(1430) 评论(0) 推荐(0)
逆向学习-IDA学习(二)
摘要:GetFunctionFlags(ea)它可以用来检索关于函数的信息。 FUNC_NORET 这个标志表示某个函数是否有返回值,它本身的值是 1,下面是一个没有返回值的函数,注意它没有函数的最后并不是 ret 或者 leave 指令。 FUNC_FAR 这个标志非常少的出现,标志程序是否使用分段内存 阅读全文
posted @ 2019-05-03 22:14 s1lenc3 阅读(989) 评论(0) 推荐(0)
逆向学习-IDApython(一)
摘要:背景 IDAPython 由三个分离的模块组成,他们分别是 idc,idautils 和 idaapi。 idc(注意大小写,不是 IDA 中的 IDC)是一个封装了 IDA 的 IDC 的兼容性模块,idautils 是 IDA 的高级实用功能模块,idaapi 允许了我们访问更加底层的数据。 基 阅读全文
posted @ 2019-05-02 21:43 s1lenc3 阅读(6169) 评论(0) 推荐(0)