从零开始之逆向工具的使用

leevccc

视频地址：https://www.bilibili.com/video/BV1zEcie8EEM/

用到的工具：

• ida pro 7.7 自行搜索下载，我用的某论坛特供版
• CE: https://www.cheatengine.org/
  

IDA 常用功能

在反汇编界面下按空格键可以切换文本视图和图表视图；按F5快速打开伪代码窗口



同步功能：在反汇编或者伪代码窗口任意位置右键，同步后可以让两个窗口的光标位置同步，以及代码段绿色底色表示，在某些情况下可以快速定位到调用参数位置；处于同步中的窗口会显示在同一行




双击方法或者结构体：跳转到定义的地方，如果是结构体则查看结构体的结构
后退、前进：很常用的按钮




立即值搜索：搜索数值，可输入0x开头的十六进制，也可以直接输入十进制搜索，搜索时勾选 Find all occurrences 可以全局搜索全部结构，并且结果页可以使用Ctrl+F过滤。






交叉引用：查找哪些地方调用了选中的函数或者变量




修改选中变量的变量名/类型 方便在伪代码中阅读




后续会另外开贴更新实战部分



Angel.idb下载：https://mega.nz/file/3TA0DD5Q#Pr ... k1c_HgSFY2H1oHHYaDA

leevccc

问题补充

用 IDA 直接打开exe文件和打开idb有什么区别？

idb可以看作是一个工程文件，当你用ida打开exe时，ida会分析这个exe文件，并且生成分析结果，此时你保存的其实就是这个exe的原始数据和分析结果，加上你自己做出的注释等，这些内容保存以后就是idb文件。