IDA Pro 簡介

Home >> Blog >> IDA Pro 簡介

IDA Pro 簡介

IDA Pro 主要是一個多平台、多處理器的反彙編器，可將機器可執行程式碼轉換為彙編語言源程式碼，用於調試和逆向工程。它可以用作各種平台上的本地或遠程調試器。可以開發插件並支持針對不同處理器和操作系統的各種可執行格式。

這是 IDA Pro 桌面的屏幕截圖：

1)工具欄區域是菜單欄下方可以停靠工具的空間。

2）導航帶是工具欄區域下方的水平顏色帶，可用於跳轉到正在分析的可執行文件的特定程式碼區域。它代表可執行文件的地址空間。淺藍色代表庫程式碼，紅色是編譯器生成的程式碼，深藍色是用戶編寫的程式碼。程式碼分析通常在用戶編寫的程式碼區域中完成。

3)反彙編窗口是顯示正在分析的可執行文件的彙編級程式碼的主要窗口。該窗口有兩種格式：圖形模式（如上圖所示）和文本模式。圖形模式視圖表示程序控制流。在圖形模式下，可執行文件被分成功能塊，彩色箭頭顯示功能塊之間的控制流。如果箭頭為紅色，則不進行條件跳轉。如果是綠色，則進行跳躍，如果顏色為藍色，則進行無條件跳躍。另一方面，文本模式呈現被分析的可執行文件的整個反彙編程式碼。在文本模式中，向上的箭頭表示循環，無條件跳轉用實線表示，有條件跳轉用虛線表示。

4)函數窗口顯示可執行文件中的所有函數。此窗口可用於根據長度和類型區分功能。它使用F、L、S 等標誌來指示函數類型。

5)名稱窗口顯示函數、命名數據、命名程式碼和帶有顏色和字母編碼名稱的字符串地址。

I表示導入名稱，

F表示常規函數，

L表示庫函數，

D表示命名數據位置，

A表示 ASCII 字符串數據位置，

C表示命名程式碼即內存位置，

6)字符串窗口顯示可執行文件中的 ASCII 字符串。

7) Imports 窗口列出了由正在分析的文件導入的所有函數。

8)導出窗口顯示分析中的文件導出以供其他文件使用的所有函數和變量。

9)消息窗口是狀態窗口，顯示 IDA Pro 生成的輸出，可能是錯誤消息或正在進行的分析狀態。

一些有用的 IDA pro 插件是：

1. AsPack/ASPR：一個插件，可以用來解包或解壓縮使用Win32文件壓縮器壓縮的文件。
2. Hex-Rays Decompiler：將目標文件轉換為兼容源文件的插件。
3. Stealth：一個開源的反調試器插件，它試圖將 IDA Pro 從最常見的反調試技術中隱藏起來。
4. PatchDiff2：一個開源插件，可以用來比較兩個IDA Pro數據庫（IDB）文件，找出兩者之間的差異。
5. IDAPython：一個將Python編程語言與IDA Pro相結合的開源插件，從而允許腳本在IDA Pro中運行。
6. Ida struct：一個開源插件，有助於識別二進制程式碼中的高級對象和結構。
7. EPF – Entry-Point-Finder：一個插件，可用於獲取打包或加密的 windows PE 可執行文件的原始入口點。