分析petya病毒時新學會的技巧。
- IDA技巧1 : string
提取文件中的字符串內容,如果看到一些文件字符串可以定位到關鍵的函數中。
view -> open subview -> string
- IDA技巧2 :圖形化與視圖的切換-空格
選擇 Options -> General-> use graph view by default選項取消,就可以用空格鍵在圖形視圖與列表視圖之間切換。
- IDA技巧3 :圖形化顯示反匯編地址
選擇 Options -> General- Disassembly,行前綴可以顯示反匯編地址。
圖形化口顯示反匯編地址
- IDA技巧4 :自動注釋
通過Option->General->Auto Comments即可。
-
IDA技巧知識
IDA使用不同的彩色箭頭區別函數塊之間的流,在條件跳轉位置終止的基本塊可能會產生兩種流:Yes邊的箭頭(是的、執行)默認為綠色,No邊的箭頭(不執行分支)默認為紅色。只有一個后繼塊的基本塊會利用一個正常邊(默認為藍色)指向下一個即將執行的塊。
-
標簽使用,方便查找
ALT + M 添加標簽
CTRL+ M 查看標簽