這次首先記錄的是IDA的一些其他的使用方法:
一:
瞭解IDA的配置文件:
這個配置文件實際上就是菜單的選項這一項(Oprions)裏面的配置,其對應的文件是:ida.cfg文件,但是這個配置只是暫時的,每次關閉後都會重置,所以要想直接對其更改就必須直接修改ida.cfg文件(這個文件裏面有一些特殊字符,不要直接用Windows的文本編輯器直接對其編輯,應該用對特殊字符支持更好的工具)
一下是幾個書中推薦的配置方法:
二:
IDA一部分功能:
1:這個裏面的意義的話大概就是:庫函數,規則函數,未查詢過的,指令,外部符號
在這個上面右鍵可以Zoom in和Zoom out,可以放大和縮小,方便拖動,以便分析。
2:點擊分號可以快速在代碼後面添加註釋。
3:我們可以在彙編代碼後面看見有類似於:
後面的註釋帶有小箭頭的,這個是一個交叉參考的意思,選中前面的代碼然後點x鍵就可以打開交叉參考界面,這個界面有助於我們對代碼之間的相互調用關係有了解。
4:我們可以對一些默認參考名進行重命名,提高反編譯後的可讀性:
並且,這裏對一個進行修改了,其他的相同參考名稱的也會一同被修改。
5:在Jump/Mark position裏面可以添加之前的參考名稱,然後只需要用Ctrl + M或者是Jump/Jump to marked position就可以直接跳回到之前標記處,非常的方便。
6:我們對一個數字(16進制)右鍵就可以看見其相應10進制和8進制以及2進制的表達。
這裏還有一個數據和代碼的轉換,就是如果在用戶覺得這一段有可能是代碼的情況下可以選到第一個字節的地方,然後執行Edit/Undefine,然後按P鍵就可以執行自動轉化檢測,然後按U鍵可以重新以16進制展現出來;
同時我們也可以在確定的情況下把某一段數據轉換爲字符串:在Edit/String下就可以看見各種風格的字符串。
如果我們定義了一個字符串(變量)但是並沒有在程序中調用,此時也不會自動以字符串的形式展現出來。
這些有字符串標識的變量名字會在View/Open subviews/Names裏面看見(前部都是被自動加了一個a打頭);
同樣的,我們可以自己定義一個數組的顯示大小方式:
在Edit/Array裏面就可以看見一個對一堆數據的管理顯示方式:
其中第一個就是那一組數據的大小,第二個就是每一行顯示多少個(方便自己瀏覽,如果爲0那麼就自動調整)最後哪個就是對齊方式。