PWN的工具的的指令手册。

IDA基本使用

1.打开文件

可以被IDA解析的文件包括.exe、.so、.o等格式。

1
2
3
(1)左窗口为函数列表,一个文件被反编译后所有的函数列表都可以在此窗格中显示;
(2)右窗口为汇编代码区,双击每个函数,可以看到对应函数对应的汇编代码段;
(3)下窗口为输出窗口,文件反汇编过程中的信息都可以在此窗口中看到。

(1)空格可以切换汇编代码为流程图浏览模式
(2)在流程图模式下,绿线代表判定条件成立,红线代表判定条件不成立

2.菜单模块

1
File , Edit , Jump , Search , View , Debugger , Options , Windows , Help
1
2
3
4
5
6
7
8
9
1.File 是用来打开,新建,装载一个应用程序的
2.Edit 是用来编辑反汇编代码的,可以复制,筛选什么的。
3.Jump 是用来跳转的,可以有很多种类型的跳转,比如跳转到上一个位置或者下一个位置,跳转到某个指定的地址。还可以根据名字,函数来进行跳转,跳转到一个新的窗口,跳转某一个偏移量等等。
4.Serach 是用来搜索的。
5.View 是用来选择显示方式的,或者显示某一特定模块信息的。比如以树形逻辑图显示,或者16进制形式显示。还可以单独显示某一特定信息,比如输入或者输出表等。
6.Debugger 调试器被集成在IDA中,首先我们使用IDA装入文件,来生成数据库,用户可以使用反汇编功能,查看所有反汇编信息,这些均可以在调试器中进行和使用。
7.Options 在这里可以进行一下常规性的设置。
8.Windows 
9.Help 使用IDA的一些帮助文档,检查更新等等。

3.打开后的窗口

打开文件之后进入这个页面

其中这几个默认都在

开启位置

1.伪代码查看(F5)

通过F5大致可以看出代码构造,与源代码几乎相差不多

2.Hex View-1

可以查看16进制代码,方便定位代码后使用其他工具修改,具体表示如下图所示:

3.Stuuctures

可以查看程序的结构体:

4.Enums

可以查看枚举信息:

5.Imports

可以查看到输入函数,导入表即程序中调用到的外面的函数:

6.Exports

可以查看到输出函数:

4.常用窗口

1)常量字符串窗口:(shift+f12)

点击之后进入此界面能看到字符串信息

通过此窗口可以看到程序中所有的常量字符串列表,逆向分析一个程序从字符串入手是一个方向。

2)字符串查找窗口:(alt+t)

在弹出框中输入字符串

可以通过此窗口查找某个指定的字符串。

3)地址跳转:(G)

使用该窗口可以跳转到指定地址的汇编代码段。

地址为语句前的.text:xxxxxxxxxxxxxxxx

4)脚本执行窗口:(alt+f7)

5)Xrefs graph to和Xrefs graph from:(函数名上右击)

通过Xrefs graph to可以看到该函数被其他函数调用的信息:

通过Xrefs graph from可以看到该函数调用的其他函数: