IDA 使用笔记

记录下当需要各种操作的笔记

IDA 自定义结构体

1. Shift + F9 打开结构体
2. insert 插入结构体
3. D 插入结构体数据
4. Alt + Q 将某一组数据定义为某结构体

去除行数和机器码

当我们拷贝代码是，如果左边带有行数和机器码，就麻烦了。打开 Options -> General，将 Line prefixes 去掉，Number of opcode bytes 置位 0，该字段指显示多少字节的机器码

解析方式的转换

选定地址处，按下 D 键，可以将该快内容解析成数据；按下 C 键，可以将该块内容解析成代码

按 D 键，可以将该块数据解析成单字节/双字节/四字节等，可以在 Options->Setup data types 中设置需要解析的数据类型。

如果数据是一组数组，右键，选择 Array，可以设置数组格式

将数据转换为浮点

Edit -> Operand type -> Number -> Floating point

交叉引用

函数的右侧，显示了调用该函数的代码位置，另外，可以在函数名上按 X 快捷键查看。如果要在代码处显示多条引用，打开 Options -> General，在 Cross-references 选项卡下的选择最大显示条数。

各种快捷键

快捷键 K

IDA 在反汇编后，浮点操作数如果时内存单元，不能辨认出其所占字节长度时，可以按 K 键来转换其解析方式

快捷键 N

可以为变量、函数等取别名

关于习惯

分段

当分析反汇编代码时，要习惯分段来解析代码。在注释时多按一个回车，可以将代码分成一块一块的代码块：

注释

在得知一个变量是有符号还是无符号的时候，要立马加上标记，比如在名称为 Var 的变量前面加上 nVar 以示区分。在得知一个变量或函数的作用的时候立即注释上对应的名称。