IDA 7.0pro 使用（基础篇）

nigacat

本文介绍一下IDA 的基础使用功能
文章帮助适合刚刚入门学习逆向分析的同学，大佬可以略过了
ida是一款非常强大的静态分析工具，广泛用于病毒分析，ctf（re pwn）,软件破解，二进制漏洞分析，算法分析等

ida可以分析的文件格式也非常多 包括windows下的pe格式文件（.exe .dll .sys）linux 下的elf文件（.elf .so ）mac系统的常见文件格式，以及一些不常见到系统的文件格式。
ida的功能强大，对于一般的无壳保护，无混淆代码的程序ida能直接反汇编出位代码（F5快捷键），在一定程度上减少了逆向分析的难度和门槛。


上图为ida的图标，在进行逆向分析时选择32-bit IDA分析32位程序，64-bit IDA 分析64位程序。

一般来说，直接选择ok打开，不用更改选项。



对于初学者来说，ida界面看起来比较复杂，框图和选项较多，下面我们来逐个介绍每个框图的功能
选择view下的open subview



1.hex dump：直接查看程序的二进制内容（以hex值表示）
一般用于直接查找存在程序中的明文字符串和动态调试时的内容查看


2.disassembly：查看程序反编译出的汇编代码（以汇编语言显示）
一般用于直接分析相关函数的汇编代码


3.Functions_wiondow:函数表（重要）用于分析每一个单独的函数
在逆向分析中往往都是直接利用Function_windows 查找关键函数开始对整个程序进行分析
该窗口提供ctrl+F 的搜索功能 例如可以直接ctrl+f 定位到main函数


选中函数后双击即可在右侧窗口开始分析
对于一般的函数IDA提供强大的反汇编功能，（快捷键f5，f5大法好啊）直接能阅读到c代码，免除了阅读汇编语言的痛苦。


4.names:符号表,包括函数名，变量名等。
5.strings（快捷键f12）：字符串表 包括程序中存储的字符串常量（在逆向分析中对于定位关键函数有很大帮助）

在逆向分析中，往往我们可以利用Ida中的交叉引用功能找到引用了制定字符串的函数，从而实现了关键函数的定位。
比如（在程序的符号表被stripped掉的时候，无法直接搜索main函数） 查看字符串"input:flag"的引用直接定位到main函数

6.import export :导入表和导出表，表中内容为程序需要的外表函数和可以被外部程序调用的函数（涉及到动态链接的相关知识）


7.段表 ：包程序的各个段的信息比如.text（代码段）.data（数据段）（涉及到PE结构的相关知识）

以上是一些基础的使用简介，总的来说，要想用好IDA 得有扎实的逆向基础（pe结构，c语言，汇编语言，操作系统等相关知识）

关于ida的使用 还有很多高端的技巧，例如远程动态调试，打补丁，ida-python脚本，修复栈平衡等
逆向时长一年半的菜鸡 ，主要方向是ctf逆向,pwn 也做一些c++ win32开发 和病毒分析
欢迎大家一起交流学习经验，后续还会推出ida使用的技巧，以及OD gdb等工具的使用教程

Miroy发改委

给出一段这样的我应该怎么搜索？
\xE8\x00\x00\xFF\xFF\xFF\x25\x30\x00\xB3\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xE8\x00\x00\x00\x00\xFF\x25\x34\x00\xB3\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xEB\x54\x00\x00\x00\x00\x00\x00\x00\x3B\xCB\x7C\x20\xFF\x25\x38", "x??xxxxx?xx?????????????????????x????xxx?xx?????????????????????????xx???????xxxxxxx");

adidasi

萌新前来学习了  谢谢楼主

新手12138

逆向时长1个月时间的菜鸡表示后面俩个没用过

flyingdancex

学习了  谢谢楼主

deoplljj

最近正准备学习逆向，一直没有头绪，好在看见了LZ的帖子，马住了。感谢！

wasdzjh

感谢楼主的分享，希望多多出教程

chinasjy

学习了，门还没入啊

lynxtang

谢谢分享，萌新爱你哟