IDA Pro 7.0 使用技巧全面指南

# 修复被异或加密的函数
judge = 0x600B00
for i in range(182):
    addr = 0x600B00 + i
    byte = get_bytes(addr, 1)  # 获取指定地址的字节
    byte = ord(byte) ^ 0xC
    patch_byte(addr, byte)  # 打补丁修改字节

IDA Pro 7.0 使用技巧全面指南 一、IDA Pro 基础介绍 IDA Pro 是由 Ilfak Guilfanov 开发的逆向工程神器，广泛应用于二进制安全研究领域。其官方网站为 https://www.hexblog.com/，包含丰富的教程资源。 目录结构解析 cfg ：包含各种配置文件 ida.cfg：主配置文件 idagui.cfg：GUI配置文件 idatui.cfg：文本模式用户界面配置文件 idc ：包含IDA内置脚本语言IDC所需的核心文件 ids ：包含符号文件 loaders ：包含用于识别和解析PE/ELF文件的加载器 plugins ：附加插件模块 procs ：包含处理器模块 二、常用快捷键大全 | 快捷键 | 功能描述 | |--------|----------| | a | 将数据转换为字符串 | | F5 | 一键反汇编 | | esc | 回退到上一步视图（反汇编窗口） | | shift+F12 | 打开字符串窗口 | | ctrl+w | 保存IDA数据库 | | ctrl+s | 跳转到指定数据段 | | ctrl+鼠标滚轮 | 调节流程视图大小 | | x | 查看函数/变量的交叉引用 | | g | 跳转到指定地址 | | n | 更改变量名称 | | y | 更改变量类型 | | / | 在伪代码界面添加注释 | | \ | 显示/隐藏变量和函数的类型描述 | | ; | 在反汇编界面添加注释 | | ctrl+shift+w | 拍摄IDA快照 | | u | 取消定义函数/代码/数据 | 三、核心功能详解 1. 数组创建与操作 选中要转换的数据区域 选择 edit-->array 打开数组设置对话框 参数说明 ： Array element size ：数组元素大小（字节） Maximum possible size ：数组元素可能的最大值（自动计算） Array size ：数组元素数量 Items on a line ：每行显示的元素数量 Element print width ：格式化列宽 Use "dup" construct ：合并相同数据值 Signed elements ：数据显示为有符号/无符号数 Display indexes ：显示数组索引 Create as array ：创建为数组 2. 结构体操作 手工创建结构体 ： 在 structures 窗口按 Insert 键 命名结构体 在 ends 行按 D 添加成员 按 N 重命名成员 导入C语言结构体 ： View-->Open Subviews-->Local Types 右击选择 insert 添加新结构体 右击选择 synchronize to idb 同步到数据库 成员操作 ： 按 D 切换成员大小（db/dw/dd/dq/xmmword） 按 U 删除成员名称（保留空间） Ctrl+S 删除成员空间 3. 流程图操作 折叠分支 ：右击标题选择 group nodes 函数调用图 ： View-->graphs-->Function calls (Ctrl+F12) 函数流程图 ： View-->graphs-->flowt chart (F12) 四、动态调试技巧 Linux ELF调试步骤 将 dbgsrv/linux_server64 拷贝到目标机器 赋予执行权限并运行 IDA中配置： debugger-->process options Application/Input file：目标程序路径 Directory：程序所在目录 Hostname：目标机IP Port：默认端口（通常无需修改） 调试快捷键 | 快捷键 | 功能 | |--------|------| | F7 | 单步步入 | | F8 | 单步步过 | | F4 | 运行到光标处 | | F9 | 继续运行 | | Ctrl+F2 | 终止调试进程 | | Ctrl+F7 | 运行至返回 | 五、IDA Python脚本编程 基础模块 idaapi ：访问核心IDA API idc ：提供所有函数功能 idautils ：提供实用函数 示例脚本 常用函数 ： get_bytes() ：获取指定地址数据 patch_byte() ：修改字节 MakeFunction() ：创建函数 六、补丁与修改 Keypatch插件安装 下载 Keypatch.py 到 plugins 目录 安装 keystone python模块 打补丁步骤 定位要修改的指令 按 Ctrl+Alt+K 打开Keypatch 输入新汇编指令 Edit-->Patch program-->Apply patches to input file 撤销补丁 View-->Open subviews-->Patches 右击选择要撤销的补丁 选择 revert 七、数据导出与配置 导出文件类型 .map ：二进制文件结构信息 .asm ：反汇编结果 .idc ：IDA脚本 .dif ：差异文件 配置文件修改 ida.cfg ：主配置（ option-->general 选项） SHOW_AUTOCOMMENTS ：自动注释开关 GRAPH_SHOW_LINEPREFIXES ：流程图地址显示 VPAGESIZE ：内存调整参数 OPCODE_BYTES ：操作码字节数显示 idagui.cfg ：GUI行为与快捷键 idatui.cfg ：文本界面配置 八、常见问题解决 反编译报错处理 动态加密导致报错 ： 使用IDA Python解密后再反编译 SP指针错误 ： 定位错误地址 使用 Alt+K 修改SP值 其他错误 ： 尝试将报错地址的指令改为NOP 自动注释设置 option-->general 中启用 SHOW_AUTOCOMMENTS 可为汇编指令添加自动解释。 九、命名规范与符号 IDA自动生成命名前缀 | 前缀 | 含义 | |------|------| | sub | 子函数 | | locret | 返回指令 | | loc | 指令 | | off | 偏移量数据 | | seg | 段地址值 | | asc | ASCII字符串 | | byte | 字节数据 | | word | 16位数据 | | dword | 32位数据 | | qword | 64位数据 | | flt | 32位浮点 | | dbl | 64位浮点 | | tbyte | 80位浮点 | | stru | 结构体 | | algn | 对齐指示 | | unk | 未处理字节 | 数据说明符号 db ：1字节 dw ：2字节 dd ：4字节 dq ：8字节 十、实用技巧总结 快照功能 ： File-->Take database snapshot (Ctrl+Shift+W) 防止误操作 视图恢复 ： View-->Open subviews 恢复关闭的窗口 Windows-->Reset desktop 恢复初始布局 流程视图增强 ： option-->general 启用 GRAPH_SHOW_LINEPREFIXES 显示地址偏移 交叉引用分析 ：使用 x 键快速查看函数/变量引用关系 批量操作 ：结合IDAPython实现自动化分析 通过系统掌握这些功能，可以显著提高逆向工程效率，深入分析二进制文件的结构与逻辑。建议结合《IDA Pro权威指南》进行深入学习，并实践各种复杂场景下的应用。