IDA目錄結構
在IDA的安裝根目錄下有許多文件夾,各個文件夾存儲不同的內容
cfg:包含各種配置文件,基本IDA配置文件ida.cfg,GUI配置文件idagui.cfg,文本模式用戶界面配置文件idatui.cfg,
idc:包含IDA內置腳本語言IDC所需要的核心文件
ids:包含一些符號文件
loaders:包含用於識別和解析PE或者ELF
plugins:附加的插件模塊
procs:包含處理器模塊
常用快捷鍵
IDA中的快捷鍵都是和菜單欄的各個功能選項一一對應的,基本上你只要能在菜單欄上找到某個功能,也就能看到相應的快捷鍵,這里記錄幾個常用的:
a:將數據轉換為字符串
f5:一鍵反匯編
空格:流程圖 與 線性表之間轉換
Tab:C語言與匯編之間轉換
esc:回退鍵,能夠倒回上一部操作的視圖(只有在反匯編窗口才是這個作用,如果是在其他窗口按下esc,會關閉該窗口)
shift+f12:可以打開string窗口,一鍵找出所有的字符串,右擊setup,還能對窗口的屬性進行設置
ctrl+w:保存ida數據庫
ctrl+s:選擇某個數據段,直接進行跳轉
ctrl+鼠標滾輪:能夠調節流程視圖的大小
x:對着某個函數、變量按該快捷鍵,可以查看它的交叉引用
g:直接跳轉到某個地址
n:更改變量的名稱
y:更改變量的類型
/ :在反編譯后偽代碼的界面中寫下注釋
\:在反編譯后偽代碼的界面中隱藏/顯示變量和函數的類型描述,有時候變量特別多的時候隱藏掉類型描述看起來會輕松很多
;:在反匯編后的界面中寫下注釋
ctrl+shift+w:拍攝IDA快照
u:undefine,取消定義函數、代碼、數據的定義
常用設置
拍攝快照
由於IDA不提供撤銷的功能,如果你不小心按到某個鍵,導致ida數據庫發生了改變,就得重新來過,所以要記得在經常操作的時候,加上快照:file–>take database snapshot
加完快照后,會生成一個新的ida數據庫文件,本質上是有點像另存的操作
快捷鍵:ctrl+shift+w
菜單欄常用設置
view–>open subviews: 可以恢復你無意中關閉的數據顯示窗口
windows–>reset desktop: 可以恢復初始ida布局
option–>font: 可以改變字體的相關屬性
在流程視圖中添加地址偏移
IDA中的流程視圖可以說是非常的好用,簡單明了地能看出程序的執行流程,尤其是在看if分支代碼和循環代碼的時候,能夠非常直觀
但是,我們還可以改得更加好用,在這個視圖中添加地址偏移的話,我們取地址就非常方便,不再需要按空格切換視圖去找,在菜單欄中設置:option–>general
將該選項打鈎后就可以看到效果了:
自動添加反匯編注釋
同樣是在菜單欄中設置:option–>general
這個功能對於萌新來說非常友好,在剛剛初學匯編的時候, 難免遇到幾個不常用的蛇皮匯編指令,就得自己一個個去查,很麻煩,開啟了自動注釋的功能后,IDA就可以直接告訴你匯編指令的意思
效果如下:
