反病毒工具-IDA

IDA=Interactive Disassembler

简介

IDA交互式反汇编器-强大的跨平台逆向分析调试工具集,以非常形象的方式展示数据代码间逻辑.通过加载庞大的归类分析数据库,对目标程序的编译和逻辑进行判定.有人将它作为挖漏洞的神器,也有着迷于它的F5(ASM-C代码)插件.它是反病毒工程师案头必备工具.在复杂病毒分析报告中常见到它销魂的身影.

版本系统支持情况

按运行环境有32bit,64bit.另外分为两种可用版本。标准版(Standard)支持二十多种处理器。高级版(Advanced)支持50多种处理器。

官网

https://www.hex-rays.com

什么时候需要?

在你使用其它工具进行恶意程序分析力不从心的时候.或者一开始你就应当使用这款工具.

用法

打开一个文件.它可以是你需要分析的程序,也可以是IDA生成的各种图示,数据集.你可以将你的分析结果保存下来发送给你的伙伴.

示例

分析我们explorer.exe为例;测试环境为64bit win7 SP1

因为当前环境的explorer是64bit,所以需要使用64bit版本的IDA.打开后,提示是否从微软符号服务器加载符号(Symbol)文件.如果要分析的程序程序并不是微软的程序,就不用加载了.你能提供符号文件那自然是极好的.

清晰的逻辑图:

拓展学习

更多知识可以阅读《IDA Pro权威指南》,现在已经出到第二版了.

注意

它不仅仅是一款静态分析程序,还内置了多个动态调试器的接口.比如WinDBG等……