IDA 使用技巧

IDA 导入 C 头文件-更好的识别结构.........................................1使用 IDA 制作签名文件(sig 文件).................................................................

 

IDA 导入 C 头文件-更好的识别结构

快捷键：Ctrl+F9

 

遇到问题时，查看日志，再修改头文件，直到成功导入之后，相当于创建了很多结构 使用 IDA 制作签名文件(sig 文件)

IDA6.8 使用的是 flair68.zip 工具包

举例: 制作MFC Debug 静态库的签名 ① MFCDebug 静态库在哪里？ 第一个：找 mfc 的头文件(include) 第二个：根据头文件附近的文件夹找库文件(lib) 第三个：根据库文件的名称猜测具体是哪个库，结合编译进行测试

MFC debug 库：uafxcwd.lib

 

Uafxcw.lib unicode Release 版本的静态库

Nafxcw.lib ascii Release 版本的静态库

Uafxcwd.lib unicode Debug 版本的静态库

Nafxcwd.lib ascii Debug 版本的静态库

 

② 怎么生成签名？签名是神马？使用 FLAIR 工具包

Fast Library Acquisition for Identification andRecognition

创建 coff lib 的签名需要两个文件，一个 pcf.exe, sigmake.exe

第一次命令，如果生称了 EXC 文件，说明有冲突，手动删除前 4 行

;---------(delete these lines to allow sigmake to read this file)

; add '+' atthe start of a line to select a module

; add '-' ifyou are not sure about the selection

; do nothing ifyou want to exclude all modules

IDA 中的 OEP 是 Exports 窗口中 start 名称

修改 IDA 中地址名称，使用快捷键 n,或者选择名称右键 rename 双击地址直接跳转到对应代码处

使用 esc 可以返回上一步操作