IDA 学习笔记

1.数值转换为消息类型：对于cmp eax,110h ，等字符，可以使用：右键－〉use standard symbolic constant－〉选择合适的信息

                                           作用：可对MFC消息循环处WM_COMMAND ，WM_CLOSE等处理

2.快速到达目标：把鼠标放在流程线上，会显示跳转位置，双击可到达代码处

3.技巧：对于WM_INITIDIALOG调转到的代码处，一般有GetDlgItem，其push的第一个参数即为控件 资源ID

4.进制转换：可对数值，如资源ID，右键点击H，Q选项进行16进制和十进制转换，转换为ASCI码

5.重命名：可对变量，跳转地址重命名，进行右键，点击重命名

                   在图形界面上，点击窗体上“N”标志可进行 命名

6.下断点：可在cmp处，按F2对其下断点(注意先要选择上面的LOCAL WIN32 DEBUGGER)，下玩断点后，右键-〉编辑断电-〉可设置条件断电（al=al-1 不暂停 神奇）

                   运行：Ｆ９，运行后，可按Ｆ８进行单步走

７．查看变量值：（查看机器码）

　　　　　　　　运行后，可移动到某些变量处，查看值，可进行鼠标滚动下拉查看更多值。
　　　　　　　　或者双击变量，右键 A

８．计算器：点击视图，计算机，可输入值，进行，各进制转换，可查看对应ＡＳＣ码

9.循环结构: 可根据箭头方向循环判断

10.界面观看效果: 可在选项常规中,选择 基本块分界,

                 不勾 '行前缀' 则可以不看代码所在地址
                 勾选 ‘自动注释’ 可有部分注释行，此处重要，在比较处，有提示信息。

11.组节点：（有利于观看效果）

                    可复制关键信息，右键，点击 ‘组节点’，输入关键信息，则这段关键信息成为该组的显示信息

                    可按住Ctrl键，选中多块图，成为一个‘组节点’

12.转换数据为数组:  找到数组所在变量,双击,转换为DB类型,双击偏移处,若数据为int类型，则需要右键转换为

                                    Dword类型，选中所有数据，右键-〉转换为数组- 〉不选择use dup construction
                                    可选中数组的名字，按‘N ’对数组重新命名（不选择 include name list）
                                    可对数据进行下断点右键-〉编辑断点，大小为数据大小

13.监视变量：选中变量，例如 ebp+xxxx，然后点击菜单栏 '眼睛标志+ '

14.跟踪指令

　　　　　　打开菜单－＞调试器－＞跟踪－＞跟踪选项－＞ｔｒａｃｅ　ｂｕｆｆｅｒ　ｓｉｚｅ调为０，代表不
                        限制大小，可设置暂停条件，比如想在哪一条指令停下，可填写ｅｉｐ＝＝ｘｘｘｘｘ，右键－〉运行
                        到光标，此设置就可以在指定的代码段进行跟踪
　　
　　　　　　打开菜单－＞调试器－＞跟踪－＞跟踪函数，只跟踪函数
　　　　　　打开菜单－＞调试器－＞跟踪－＞跟踪指令，只跟踪指令

　                    打开菜单－＞调试器－＞跟踪－＞跟踪窗口，查看跟踪记录

15.进入代码后,按F5 可以查看伪代码