RE入门第一天---IDA的使用
一.什么是IDA以及安装
IDA全称是交互式反汇编器专业版(Interactive Disassembler Professional),人们其简称为IDA,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器!IDA Pro是一款交互式的,可编程的,可扩展的,多处理器的,交叉Windows或Linux WinCE MacOS平台主机来分析程序, 被公认为最好的花钱可以买到的逆向工程利器。IDA Pro已经成为事实上的分析敌意代码的标准并让其自身迅速成为攻击研究领域的重要工具。它支持数十种CPU指令集其中包括Intel x86,x64,MIPS,PowerPC,ARM,Z80,68000,c8051等等。
官网安装就完了
IDA Free (hex-rays.com)
二.32/64位IDA识别
(现在的最新版好像不用识别了,都能打开)
三.常见窗口
第一个窗口Functions(函数窗口)
ctrl+f可以搜索函数
双击可以显示该函数内容
第二个窗口IDA View-A
有两种模式,
图形模式
按下空格键到
文本模式
(线性展示反汇编)
G键是地址导航
第三个窗口Pseudocode窗口
Tab键切换到伪代码窗口
第四个窗口String窗口
shift+F12到达String窗口
ctrl+F键搜索字符串
其他窗口
四.例题实操
双击打开得到
输入之后窗口就关闭了
--->终端打开解决这个情况
./T1.exe
随便输入显示错误
ida打开看看怎么回事
一进去没有函数窗口
Shift+F3打开函数窗口
搜索主函数main
双击主函数进去看看
得到flag
flag{YOU_FIND_IT}
五.提高
N键修改函数信息
问题:伪代码双击之后怎样返回伪代码那个窗口
按下Esc返回伪代码窗口
sub_地址可以在函数表中找到
标识符代表了地址,地址中存储了字符串
按下U键取消连续定义,得到内存实际样子
按下A键返回连续定义
ctrl+X 交叉引用
展示字符串在这个exe被引用的代码
点击OK即可跳转