軟件介紹

IDA Pro 7.6特別版是一款可以用來(lái)進(jìn)行靜態(tài)逆向分析的反匯編軟件，這款軟件能夠幫助用戶分析32位和64位的應(yīng)用程序。而且IDA Pro 7.6漢化版還可以在windows、macosx以及l(fā)inux等操作系統(tǒng)上進(jìn)行使用，從而幫助用戶快速分析二進(jìn)制代碼樣本。

IDA Pro 7.6特別版軟件簡(jiǎn)介

ida pro 7.6特別版是一款大名鼎鼎的的交互式反匯編工具，Interactive Disassembler Professional簡(jiǎn)稱為IDA，該軟件功能強(qiáng)大、操作簡(jiǎn)單，主要用在反匯編和動(dòng)態(tài)調(diào)試等方面，支持對(duì)多種處理器的不同類型的可執(zhí)行模塊進(jìn)行反匯編處理。

IDA 完全使用 C++ 編寫(xiě)而成,適用于三大主流操作系統(tǒng):Microsoft Windows.Mac OS X 和 Linux.IDA 的主要目標(biāo)之一,在于呈現(xiàn)盡可能接近源代碼的代碼,而且通過(guò)派生的變量和函數(shù)名稱來(lái)盡其所能地注釋生成的反匯編代碼,貨真價(jià)實(shí).其內(nèi)核算法的高速和可擴(kuò)展性,使 Hex-Rays 不僅能夠在眾所周知的 C/C++ 反編譯問(wèn)題中取得突破性的進(jìn)展,還為二進(jìn)制分析領(lǐng)域的未來(lái)發(fā)展奠定了堅(jiān)實(shí)的基礎(chǔ).

軟件特色

1、可編程性

IDA Pro包含了一個(gè)由非常強(qiáng)大的類似于宏語(yǔ)言組成的完全開(kāi)發(fā)環(huán)境，可用于執(zhí)行簡(jiǎn)單到中等復(fù)雜的自動(dòng)化任務(wù)。對(duì)于一些高級(jí)任務(wù)，我們的開(kāi)放式插件架構(gòu)對(duì)外部開(kāi)發(fā)人員是沒(méi)有限制的，這樣可以完善IDA Pro的功能。比如，每個(gè)人可以用MP3播放器來(lái)擴(kuò)展IDA Pro并且發(fā)現(xiàn)惡意軟件。

2、交互性

目前，電腦在遇到未知事物時(shí)，是無(wú)法和人類大腦相比的。而IDA Pro擁有完全的互動(dòng)性，與前者相比，IDA可以讓分析師重寫(xiě)決策或者提供相應(yīng)的線索。交互性是內(nèi)置程序語(yǔ)言和開(kāi)放式插件架構(gòu)的最終要求。

3、調(diào)試器

在現(xiàn)實(shí)生活中，事情并不是我們想象的那樣簡(jiǎn)單，惡意代碼通常總與分析不一致。病毒，蠕蟲(chóng)和木馬往往是被其他東西修飾過(guò)而造成混淆，這就要求有一個(gè)更加強(qiáng)大的工具來(lái)識(shí)別出來(lái)。IDA Pro調(diào)試器補(bǔ)充了反匯編的靜態(tài)分析功能：允許分析師通過(guò)代碼一步一步來(lái)調(diào)查，調(diào)試器經(jīng)常會(huì)繞過(guò)混淆，并得到一些能夠?qū)�靜態(tài)反匯編程序進(jìn)行深入處理的數(shù)據(jù)，包括有助于得到的數(shù)據(jù)的功能更強(qiáng)大的靜態(tài)反匯編器將能夠在深度處理。遠(yuǎn)程調(diào)試器對(duì)人們想要對(duì)潛在的有害程序進(jìn)行深入時(shí)起到了很大的作用。有些IDA調(diào)試器也可以運(yùn)行在虛擬環(huán)境的應(yīng)用上，這使得惡意軟件分析更有成效。

4、反匯編

作為一個(gè)反匯編器，IDA Pro為可用在那些源代碼不總是可用的二進(jìn)制程序的探索開(kāi)發(fā)，創(chuàng)建程序執(zhí)行圖。一個(gè)反匯編器最大的益處就在于它可以通過(guò)符號(hào)表示，也就是匯編語(yǔ)言來(lái)為在執(zhí)行的處理器提供說(shuō)明。如果一個(gè)你剛剛安裝的友好的屏幕存儲(chǔ)器在探視你的網(wǎng)上銀行會(huì)話或者登陸你的郵箱，反匯編器就可以將它顯示出來(lái)。然而，匯編語(yǔ)言是很難搞懂的，這也是為什么這種先進(jìn)的技術(shù)被應(yīng)用在IDA Pro上從而能確保代碼的可讀性，甚至在某些情況下和二進(jìn)制文件產(chǎn)生的源代碼非常相似。該程序圖的代碼可以為進(jìn)一步的調(diào)查提供后期處理。有些人已經(jīng)將它作為其根源用在病毒的基因分類上。

IDA Pro 7.6特別版軟件功能

1、圖表視圖

在圖表視圖中，當(dāng)前函數(shù)表示為與邊連接在一起的節(jié)點(diǎn)集合。節(jié)點(diǎn)表示基本塊，邊表示它們之間的代碼交叉引用。

只有代碼項(xiàng)在圖表視圖中可見(jiàn)，數(shù)據(jù)項(xiàng)被隱藏。要顯示它們，請(qǐng)按Space鍵切換到文本模式。圖表視圖可用于屬于函數(shù)的指令。如果當(dāng)前項(xiàng)目無(wú)法以圖形模式顯示，IDA會(huì)自動(dòng)切換到文本模式。它還會(huì)顯示警告，我們建議您在熟悉該概念后立即隱藏它。

2、消息窗口

IDA在開(kāi)始時(shí)打開(kāi)一個(gè)特殊的不可關(guān)閉的窗口。該窗口稱為“消息窗口”。在此窗口中，您可以看到各種IDA消息。

如果消息窗口隱藏在其他窗口后面，您將看不到IDA消息。

3、堆棧變量窗口

動(dòng)作名稱：OpenStackVariables

此命令打開(kāi)當(dāng)前函數(shù)的堆棧變量窗口。

堆棧變量在內(nèi)部表示為結(jié)構(gòu)。該結(jié)構(gòu)由兩部分組成：局部變量和函數(shù)參數(shù)。

您可以在此處修改堆棧變量定義：添加/刪除/定義堆棧變量，為它們輸入注釋。

此窗口中可能有兩個(gè)特殊字段：“r”和“s”。它們表示函數(shù)返回地址和已保存寄存器的大小（以字節(jié)為單位）。您無(wú)法直接修改它們。要更改它們，請(qǐng)使用edit function命令。

行前綴的偏移表示來(lái)自幀指針寄存器（BP）的偏移。窗口左下角的窗口指示器顯示堆棧指針的偏移量。

要?jiǎng)?chuàng)建或刪除堆棧變量，請(qǐng)使用數(shù)據(jù)定義命令（data，strlit，array，undefine，Rename）。您也可以定義常規(guī)或可重復(fù)的注釋。

通過(guò)將操作數(shù)轉(zhuǎn)換為堆棧變量，可以在程序中使用定義的堆棧變量。

4、功能窗口

動(dòng)作名稱：OpenFunctions

顯示程序中所有功能的列表。您可以使用列表查看器命令添加，刪除，修改功能。

IDA Pro 7.6特別版使用技巧

ida pro7.6特別版怎么查看偽代碼？

1、打開(kāi)ida，打開(kāi)一個(gè)文件，我用的是安恒月賽的一個(gè)文件，出現(xiàn)；

2、首先打開(kāi)option-general；

3、option在上面的一系列菜單中，選中stack pointer,就是我畫(huà)紅圈的地方，勾選，然后確定；

4、你會(huì)發(fā)覺(jué)代碼段多了一系列東西，這就是棧指針，他告訴我們棧的高度，而postive sp value has been found ,會(huì)出現(xiàn)，是因?yàn)橛胸?fù)的棧指針；

5、紅圈所示，而我們修改呢，只需在出現(xiàn)負(fù)數(shù)的那個(gè)地方的上一行，按alt+k,調(diào)整成跟這個(gè)數(shù)一摸一樣的值就可以了

6、如圖所示，然后確定，然后按F5便可以變成偽代碼進(jìn)行查看了。

更新日志

1、解除時(shí)間限制

2、解除每30分鐘跳出提示的限制

3、解除復(fù)制粘貼的限制

4、解除批處理限制。。。

5、增加插件支持和F5功能、此功能由于缺新版本插件。舊的1.5插件已在這個(gè)版本中無(wú)法正常使用。

6、增加保存idc功能Shift+s、(實(shí)現(xiàn)保存分析可以根據(jù)時(shí)間保存多個(gè)快照)此功能下版本實(shí)現(xiàn)。

7、增加各種加密狗的sig

8、增加各種iphone系統(tǒng)庫(kù)的sig識(shí)別

9、增加ida支持python腳本

10、增加UniCodeString和Unicode、Convert插件來(lái)增強(qiáng)字符解析