IDA簡單使用

1.回車找位置
在一個變量的上(一般以[ebp+xxx]的形式表示)點擊並回車可以找到該變量的具體位置,在標號上點擊並回車可以轉到標號所在的位置.
2.對一個變量改名
點中該變量(一般以[ebp+xxx]的形式表示),然后按n,輸入新名字
3.定義一個結構,枚舉,數組類型
打開結構窗口,按insert插入一個結構,在結構內部按d鍵加入一個成員,在這一行上繼續d改變該成員的類型,db->dw->dd->db.在結構內部新行上按d再插入一個結構,按n對成員命名.定義枚舉和數組類型也差不多.
4.改變變量定義類型
在變量上按回車找到該變量具體定義的位置,然后在該位置上按快截鍵alt+q,可以選擇一個已經定義過的結構.這樣就改變了變量的類型.
5.對一個偏移選擇結構中的成員
點中一個偏移,如[esi+20h],然后按t,然后選擇結構的名,比如選擇了個stru_XXX,如果這個結構的偏移0x20處的成員是m_20,那么在反匯編界面上,原來的[esi+20h],就自動變成了[esi+stru_XXX.m_20]
6.對一個數字選擇枚舉中的成員
比如:test [ebp+dwFlags],1
如果你知道dwFlags代表一個標志,而1就是一個標志,肯定有宏定義,那么在1上點m,就可以選擇枚舉結構,比如選擇MACRO_TH32CS,那么界面上自動將1改成MACRO_TH32CS相應的枚舉的成員名,顯示成:
test [ebp+dwFlags], TH32CS_SNAPHEAPLIST
7.對數字改名
如果一個數字顯示的是FFFFFFFF,按[shift] + [-],FFFFFFFF就變成了-1.如果是10進制的數，選擇該數按H鍵就將該數顯示成16進制的形式.
8.返回
按回車進入一個地方后,若要返回原來的地方,按[esc]返回,相當於上一步.
9.快速跳轉到相應的位置
按g,輸入地址或標號,可以快速的跳轉到相應的代碼處.
10.Hex-rays插件
安裝Hex-rays,在要反編譯的函數上按F5,可以彈出一個C代碼窗口,內容是該函數的反編譯代碼,但是翻譯的很粗糙,使用Y可以選擇類型,就象在反匯編窗口中使用alt+q一樣.具體的內容可以參看Hex-rays的官方網站.