IDA Pro反编译工具使用帮助

IDA Pro为反编译与除错工具, 常用于逆向工程。

PE格式分析

请参考如下链接:

汇编代码解析

请参考如下链接:

操作系统布局

Windows在默认情况下会将高地址的2GB空间分配给内核(也可以配置为1GB),而Linux默认情况下会将高地址的1GB空间分配给内核。也就是说,应用程序只能使用剩下的2GB或3GB的地址空间,称为用户空间(User Space)。

Windows 32位程序的内存分布

图1 Windows 32位程序的内存分布

修改汇编指令

IDA修改汇编指令的方法如下:

  1. 点击Edit > Patch program > Assemble,修改汇编指令
  2. 点击Edit > Patch program > Apply pathes to input file > OK

具体细节请参考:

显示中文字符

IDA从7.0版本开始正式支持中文字符串的显示,但仍需要配置ida.cfg。在IDA\CFG目录下新建文件Chinese.clt,修改 ida.cfg 文件中的ENCODING_CULTURES项目,增添“GB2312:Chinese”。

具体请参考:

QT程序逆向分析

请参考:

调试DLL

请参考:

去除函数调用

请参考:

参考链接

  1. IDA Pro基础,by alienworm.
  2. (_DWORD )是什么?,by SkYe231_.
  3. 有关(_DWORD *)的解释,by 半岛铁盒@.
  4. 14.IDA-XREF(交叉引用)概述,by 花熊.
  5. 可否对车的阻力进行量化?当然!,by EV技研.
  6. python弹道初步:帮柱子想办法干他一炮,by 微小冷.
  7. 在 IDA 中,db 和 dd offset 在数据部分中是什么意思?,by 吾爱随笔录.
  8. SS, SP, BP 三个寄存器,by dzqabc.
  9. [原创]PE文件结构基础详解,by 黎明与黄昏.
  10. Linux进程的内存空间布局,by ___Blue_H.
  11. 无法看懂windows内存?那是因为你少了三幅图和一个工具,by Crystal.
  12. Linux、Windows下C语言内存布局(内存模型),by JayerZhou.
  13. (C语言内存十)Windows下C语言程序的内存布局(内存模型),by still-smile.
  14. ida动态调试dll ida动态调试exe,by idapro.