导航

加载

创建IDA数据库

关闭数据库

重新打开

桌面简介

初分析时桌面行为

注意两个提示

windows -> reset desktop 恢复初始界面布局，用这个就好了

• 双击后有三个选项
  • new 创建空白的，可以导入文件分析
  • go 终止加载过程，打开空白工程，感觉和new没太大区别
  • previous 最近使用过的文件
• open -> file
  • 打开的文件加载框会过滤掉它分析不了的文件
  • 又在文件夹又看不到可以加载就是它分析不了的了
  • 提到了一些处理器类型的选择，但是在现版本中好像没有找到
    • processor Type, kernel Optinos
  • 二进制文件加载器
  • 这一部分的内容有点过时了

• 加载

  • 会创建一个数据库，组件分别保存，IDA专用
    • .id0 是一个二叉树形式数据库
    • .id1 包含每个程序字节标记
    • .nam 包含Names窗口中的关键索引
    • .til 存储于本地类型定义有关信息
  • 关闭IDA会对这4个文件存档，可以压缩保存成IDB文件
  • IDA本质是数据库应用（^_^），强大之处在于包含各种可用于分析和操作数据库数据的工具。理解起来挺有趣的。

• 创建IDA数据库

  • 说的其实是IDA的工作流吧
  • 加载器加载文件->IDA反汇编引擎->IDA的额外分析
  • 需要注意的信息
    • 编译器识别 有助于利用编译器的规则去理解反汇编
    • 函数参数和局部变量识别 对已识别的函数，分析栈指针寄存器行为，根据用途自动生成名称（好奇什么名称对应什么用途）
    • 数据类型信息 IDA会根据公共库函数在工程内添加注释，提示参数位置，节省时间

• 关闭数据库

  • Don't pack database 不打包数据库 （常用）
  • Pack database 打包数据库
  • Pack database deflate 打包并压缩
  • Collect garbage 磁盘不够才选，一般不选
  • Don't save the database 不保存，删除产生的文件

• 重新打开

  • 打开历史工程速度会很快
  • 崩溃了没有什么好办法，有把握修复就还原上次

• 桌面简介

  • （填图）
  • 工具栏，高级工具栏（看着高大上，功能认不全(坑)）
  • 彩色的水平带，别名概况导航栏，导航带。知道你当前位置，还有总的代码量。
  • 标签，每个数据窗口都提供了标签。
  • 反汇编视图，显示主要数据的视图，有两种，图形和列表视图空格切换
  • 图形视图
  • 输出窗口 类似控制台
  • 函数窗口 右侧
  • 这一部分需要参照原著图例看，如果有评论需要看图会后期再填图上来。

• 初分析时桌面行为

  • 消息输出窗口显示进度
  • 反汇编窗口显示初始位置和反汇编输出
  • 函数窗口显示初始值及定时更新
  • 数据与代码的识别
  • 导航带显示进度
  • 其实看进度应该就差不多了

  • 注意两个提示

    • You may start to explore... 可以开始输入研究文件（还只能看）
    • The initial autoananlysis... 初始分析已经完成(可以开始修改了)

  • windows -> reset desktop 恢复初始界面布局，用这个就好了

  • Disassembly 修改显示字体窗口， option -> font 设置字体
• 报告bug（前提：正版）官方的反馈很快，第三方的需要自己联系。
• 小结
  • 善意提示，要很熟练（哈哈哈）

• new 创建空白的，可以导入文件分析
• go 终止加载过程，打开空白工程，感觉和new没太大区别
• previous 最近使用过的文件

• 打开的文件加载框会过滤掉它分析不了的文件
• 又在文件夹又看不到可以加载就是它分析不了的了
• 提到了一些处理器类型的选择，但是在现版本中好像没有找到
  • processor Type, kernel Optinos
• 二进制文件加载器
• 这一部分的内容有点过时了

• processor Type, kernel Optinos

• 会创建一个数据库，组件分别保存，IDA专用
  • .id0 是一个二叉树形式数据库
  • .id1 包含每个程序字节标记
  • .nam 包含Names窗口中的关键索引
  • .til 存储于本地类型定义有关信息
• 关闭IDA会对这4个文件存档，可以压缩保存成IDB文件
• IDA本质是数据库应用（^_^），强大之处在于包含各种可用于分析和操作数据库数据的工具。理解起来挺有趣的。

• .id0 是一个二叉树形式数据库
• .id1 包含每个程序字节标记
• .nam 包含Names窗口中的关键索引
• .til 存储于本地类型定义有关信息

• 说的其实是IDA的工作流吧
• 加载器加载文件->IDA反汇编引擎->IDA的额外分析
• 需要注意的信息
  • 编译器识别 有助于利用编译器的规则去理解反汇编
  • 函数参数和局部变量识别 对已识别的函数，分析栈指针寄存器行为，根据用途自动生成名称（好奇什么名称对应什么用途）
  • 数据类型信息 IDA会根据公共库函数在工程内添加注释，提示参数位置，节省时间

• 编译器识别 有助于利用编译器的规则去理解反汇编
• 函数参数和局部变量识别 对已识别的函数，分析栈指针寄存器行为，根据用途自动生成名称（好奇什么名称对应什么用途）
• 数据类型信息 IDA会根据公共库函数在工程内添加注释，提示参数位置，节省时间

• Don't pack database 不打包数据库 （常用）
• Pack database 打包数据库
• Pack database deflate 打包并压缩
• Collect garbage 磁盘不够才选，一般不选
• Don't save the database 不保存，删除产生的文件

• 打开历史工程速度会很快
• 崩溃了没有什么好办法，有把握修复就还原上次

• （填图）
• 工具栏，高级工具栏（看着高大上，功能认不全(坑)）
• 彩色的水平带，别名概况导航栏，导航带。知道你当前位置，还有总的代码量。
• 标签，每个数据窗口都提供了标签。
• 反汇编视图，显示主要数据的视图，有两种，图形和列表视图空格切换
• 图形视图
• 输出窗口 类似控制台
• 函数窗口 右侧
• 这一部分需要参照原著图例看，如果有评论需要看图会后期再填图上来。

• 消息输出窗口显示进度
• 反汇编窗口显示初始位置和反汇编输出
• 函数窗口显示初始值及定时更新
• 数据与代码的识别
• 导航带显示进度
• 其实看进度应该就差不多了

• 注意两个提示

  • You may start to explore... 可以开始输入研究文件（还只能看）
  • The initial autoananlysis... 初始分析已经完成(可以开始修改了)

• windows -> reset desktop 恢复初始界面布局，用这个就好了

• Disassembly 修改显示字体窗口， option -> font 设置字体

• You may start to explore... 可以开始输入研究文件（还只能看）
• The initial autoananlysis... 初始分析已经完成(可以开始修改了)

• 善意提示，要很熟练（哈哈哈）

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课