分析petya病毒时新学会的技巧。
- IDA技巧1 : string
提取文件中的字符串内容,如果看到一些文件字符串可以定位到关键的函数中。
view -> open subview -> string
- IDA技巧2 :图形化与视图的切换-空格
选择 Options -> General-> use graph view by default选项取消,就可以用空格键在图形视图与列表视图之间切换。
- IDA技巧3 :图形化显示反汇编地址
选择 Options -> General- Disassembly,行前缀可以显示反汇编地址。
图形化口显示反汇编地址
- IDA技巧4 :自动注释
通过Option->General->Auto Comments即可。
-
IDA技巧知识
IDA使用不同的彩色箭头区别函数块之间的流,在条件跳转位置终止的基本块可能会产生两种流:Yes边的箭头(是的、执行)默认为绿色,No边的箭头(不执行分支)默认为红色。只有一个后继块的基本块会利用一个正常边(默认为蓝色)指向下一个即将执行的块。
-
标签使用,方便查找
ALT + M 添加标签
CTRL+ M 查看标签