返回
ida pro 学习心得

ida pro 学习心得

ID:10911008

大小:925.00 KB

页数:12页

时间:2018-07-08

ida pro 学习心得_第1页
ida pro 学习心得_第2页
ida pro 学习心得_第3页
ida pro 学习心得_第4页
ida pro 学习心得_第5页
资源描述:

《ida pro 学习心得》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、IDA学习笔记【文章标题】:IDA学习笔记【文章作者】:GoodGavin【作者邮箱】:gavin_soung@163.com【编写语言】: Microsoft Visual C++ 6.0【使用工具】:IDA5.2,Hex-Rays.Decompiler.v1.0(IDA插件),OD,UltraEidt【操作平台】:Winxp【时间】:2009年10月【作者说明】: IDA据说是个好东西,功能也很强大。但确实不易上手。学习一下,顺便做点笔记。从零开始吧!希望大家指正。(原来只要找,IDA的资料还是很多的,推广有效!)【详细过程】用最简单的CM做实验。首先帮助里说了:

2、IfyouarestartingtouseIDAfortheveryfirsttime,therearesomecommandsyouwillfindveryuseful:-converttoinstruction(转换成指令):thehotkeyis"C"-converttodata(转换成数据):thehotkeyis"D"在IDAView-A窗口的指令或数据上按上述按键进行指令和数据的转换,算是学习的第一步。第一次交锋:根据OD的使用情况,查找字符串。(快捷键:shift+F12)。IDA中的菜单命令位置如下图:或者菜单上的按钮:在String窗口中找到关键字符

3、串:双击,来到IDAView-A代码窗口:这句:data:00403020aFaildb'fail!',0;DATAXREF:.text:004016A6o双击后面的004016A6地址,来到使用fail数据的代码处(这样就是方便哦!)鼠标单击loc_4016A2:标签,所有的都会高亮显示。(这个功能verygood!)第二次交锋:更改代码,爆破有两处地方跳到了注册失败。OK,改掉他就算爆破了!可是怎么改了?用OD,Ultraedit,WinHex都可以改。但是强大的IDA不会没有这个功能吧?不知道怎么办?学习第一招:查帮助或者手册(Help->HelpIndex)

4、,如果E文不好,看雪有中文版的。更改指令的菜单位置为:MainMenuBar->Edit->PatchProgram功能。高兴啊!结果发现我的IDA中没有这个子菜单。无语。学习第二招:搜索引擎百度搜索:“IDA没有patchprogram菜单”,看到这篇:http://bbs.blueshow.net/thread-303604-1-1.html原来要设置IDA的配置文件。修改IDA的cfg目录下的idagui.cfg文件:DISPLAY_PATCH_SUBMENU=NO改为DISPLAY_PATCH_SUBMENU=YES更改配置文件之后,选中要更改的那行指令,然后

5、选择MainMenuBar->Edit->PatchProgram->changebyte弹出对话框:把7415改为9090,这条指令是两个字节的,通过如下方法可以在IDA中看到:当然经过如下设置,可以和OD一样看到指令的机器码:Options->general->number of opcode bytes 设定一个数(显示几个字节的机器码)但是个人觉得,显示上之后没有原来的样子好看了。(*^__^*)嘻嘻……(这里有个功能,记忆之前改的数据,个人反而觉得不好用。第二次敲90直接把第一次改的那串数据放进去了,这样还得把整行的数据都敲一遍。)如何保存更改后的程序?据说

6、File->Productfile->CreateEXEfile是这个功能,可惜:帮助:IDAproducesexecutablefilesonlyfor:-MSDOS.exe-MSDOS.com-MSDOS.drv-MSDOS.sys-generalbinary-IntelHexObjectFormat-MOSTechnologyHexObjectFormatForotherfileformatspleasecreateadifferencefile.难道PE文件不是generalbinary?不明白。File->Productfile->CreateDifffil

7、e有效。生成的dif文件的内容如下:ThisdifferencefileiscreatedbyTheInteractiveDisassemblermyEasyCM.exe00001675:759000001676:2B900000168B:74900000168C:1590直接用UltraEidt安照如上内容更改数据程序就告破。但是IDA中为啥就找不到这个功能呢?Baidu上没有找到解决的办法,到Google上用E文搜索:发现相关的说法都是下面的意思(IDA只是对内存中数据的修改,没有写入硬盘。如果需要更改请用HEXEditer。)暂时先放弃用IDA

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。