IDA Pro为反编译与除错工具, 常用于逆向工程。
PE格式分析
请参考如下链接:
汇编代码解析
请参考如下链接:
操作系统布局
Windows在默认情况下会将高地址的2GB空间分配给内核(也可以配置为1GB),而Linux默认情况下会将高地址的1GB空间分配给内核。也就是说,应用程序只能使用剩下的2GB或3GB的地址空间,称为用户空间(User Space)。
修改汇编指令
IDA修改汇编指令的方法如下:
- 点击Edit > Patch program > Assemble,修改汇编指令
- 点击Edit > Patch program > Apply pathes to input file > OK
具体细节请参考:
显示中文字符
IDA从7.0版本开始正式支持中文字符串的显示,但仍需要配置ida.cfg。在IDA\CFG目录下新建文件Chinese.clt,修改 ida.cfg 文件中的ENCODING_CULTURES项目,增添“GB2312:Chinese”。
具体请参考:
QT程序逆向分析
请参考:
调试DLL
请参考:
去除函数调用
请参考:
- Is it possible to make an application skip a call?
- IDA系列教程:堆栈平衡原理与手动恢复平衡
- 3.栈偏移平衡与计算(使用IDA举例)
- 对call堆栈平衡的一点心得,希望对新手有所帮助
参考链接
- IDA Pro基础,by alienworm.
- (_DWORD )是什么?,by SkYe231_.
- 有关(_DWORD *)的解释,by 半岛铁盒@.
- 14.IDA-XREF(交叉引用)概述,by 花熊.
- 可否对车的阻力进行量化?当然!,by EV技研.
- python弹道初步:帮柱子想办法干他一炮,by 微小冷.
- 在 IDA 中,db 和 dd offset 在数据部分中是什么意思?,by 吾爱随笔录.
- SS, SP, BP 三个寄存器,by dzqabc.
- [原创]PE文件结构基础详解,by 黎明与黄昏.
- Linux进程的内存空间布局,by ___Blue_H.
- 无法看懂windows内存?那是因为你少了三幅图和一个工具,by Crystal.
- Linux、Windows下C语言内存布局(内存模型),by JayerZhou.
- (C语言内存十)Windows下C语言程序的内存布局(内存模型),by still-smile.
- ida动态调试dll ida动态调试exe,by idapro.