ida 操作

F5 进入伪代码

tab键进入graph

空格键 在graph和汇编视图 切换

ctrl+x (在函数名上按ctrl+x) 查找引用

alt+t 字符串搜索

alt+b 二进制搜索

​​Shift+F12​ 查看所有硬编码字符串

在functions功能区按ctrl+f 过滤函数名

imports(导入的函数) 按ctrl+f查找函数GetProcAddress 双击进入汇编对应位置 按ctrl+x查找所有引用

选中一段汇编代码,Edit-> Patch program-> Change bytes...,批量修改为nop.

函数开头位置(必须在push 最后一个非易失寄存器之后,函数尾的pop...需保留,F5伪代码定位到最后一行 按tab即进入到汇编结尾出找到地址jmp )直接修改return一个值, 如果开头是push ebp改为mov eax, 1两条指令不一样长无法修改,则先nop掉这条往下找能修改的位置来修改

 

 

 

 批量nop

view->open subviews->hex dump  打开汇编视图