《IDA Pro权威指南》读书笔记

  1. 云栖社区>
  2. 博客>
  3. 正文

《IDA Pro权威指南》读书笔记

刘恒兴 2013-04-03 10:44:37 浏览587
展开阅读全文

IDA 6.1 预破解版 种子下载地址 http://thepiratebay.se/torrent/7686769/。 如果不能下了,谷歌搜索 “Hex-Rays Ida Pro Advanced Edition v6.1.1 PreCracked”。


Names窗口:

F,常规函数

L, 库函数

I,导入的名称。与库函数的区别:没有代码

G,命名代码

D,数据

A,字符串数据。

用于自动生成名称的一些常用前缀包括以下一些:

sub_xxxxxx:地址xxxxxxx处的子例程

loc_xxxxxx:地址xxxxxx处的一个指令

byte_xxxxxx:位置xxxxxx处的8位数据

word:16位

dword:32位

unk_xxxxxx:位置xxxxxx处的大小未知的数据


x86 fastcall约定:是stdcall约定的一个变体,它向CPU寄存器(而非程序栈)最多传递两个参数。 传递给函数的前两个参数将分别位于ECX和EDX寄存器中。剩余的其他参数则以类似stdcall约定的方式从右到左放入栈上。


push和pop会修改esp,要记住


在x86程序中,EBP寄存器通常专门用作栈帧指针。

bp-based frame:

push  ebp   ; save the caller's ebp value
mov  ebp, esp   ; make ebp point to the saved register value
sub  esp, 76   ; allocate space for local variables
……
mov esp, ebp   ; clears local variables by reseting esp
pop   ebp    ; restore the caller's value of ebp
ret      ; pop return address to return to the caller
使用一个专用的帧指针,所有变量相对于帧指针寄存器的偏移量得以计算出来。正偏移量用于访问函数参数,负偏移量用于访问局部变量。


反汇编清单可能会有错误,你可能需要对反汇编分析和显示过程进行更多的控制。

IDA提供的代码转换包括以下几类:

将数据转换为代码

将代码转换为数据

指定一个指令序列为函数

更改现有函数的起始或结束地址

更改指令操作数的显示格式


Edit->Array菜单中,可以指定连续的数据空间为数组。指定后,反汇编清单会更好看


为了字节对齐,编译器会插入几个字节

结构体在反汇编中看到的就是数据块,并不知道是结构体。可以自己创建。

可以反汇编自己编写一些程序来认识自己使用的编译器得到的结果


编译器会为每一个包含虚函数的类(或通过继承得到的子类)生成一个表,其中包含指向类中每一个虚函数的指针。这样的表就叫做虚表(vtable)。此外,每个包含虚函数的类都获得另外一个数据成员,用于在运行时指向适当的虚表。这个成员通常叫做虚表指针(vtable pointer),并且是类中的第一个数据成员。

通过虚表的分析,可以看出两个类间的关系。

如果两个虚表包含相同数量的条目,则与这两个虚表对应的类之间可能存在着某种继承关系

如果类x的虚表包含的条目比类y多,则x可能是y的子类

如果x包含的条目也可以在y的虚表中找到,则必定存在下面一种关系:x是y的子类,y是x的子类,或者x和y全都是同一个超类z的子类。

如果x包含的条目也可以在类y的虚表中找到,并且x的虚表中至少包含一个纯调用条目,而y的虚表中并没有这个条目,那么y是x的子类


代码交叉引用用于表示一条指令将控制权转交给另一条指令。在IDA中,指令转交控制权的方式叫做流(flow)。IDA中有3种基本流:普通流、跳转流和调用流。j表示跳转流jump,p表示调用,procedure。

数据交叉引用最常用的3种数据交叉引用分别用于表示某个位置何时被读取、何时被写入以及何时被引用。r后缀表示read cross-reference,w表示write,o表示偏移量交叉引用offset cross-reference。


常用快捷键:

g:jump to address

alt+t:搜索

ctrl+t:搜索下一个

ctrl+x:交叉引用列表

F5:反编译成C伪码


Mac OS X版的IDA没有破解,目前只发现6.0的试用版。 Mac版的IDA能更好地识别objective-c函数,并且反汇编结果是AT&T语法,可以和windows版互补一起用。

网友评论

登录后评论
0/500
评论
刘恒兴
+ 关注