- A+
IDA 是一个交互式反汇编程序,这意味着用户积极参与反汇编过程。IDA 不是程序的自动分析器。IDA 会给你关于可疑指令、未解决问题等的提示。通知 IDA 如何继续是你的工作。
如果您是第一次使用 IDA,这里有一些您会发现非常有用的命令:
- 转换为指令:热键是“C”
- 转换为数据:热键是“D”
您所做的所有更改都会保存到磁盘。当你再次运行 IDA 时,所有关于被反汇编文件的信息都会从磁盘中读取,以便你可以继续你的工作。
其他命令请参考菜单系统和帮助。
当程序未被占用执行您提示的操作时,IDA 可以对其进行分析。您与 IDA 一起反汇编程序,但您的请求具有优先权。
背景分析的状态显示在屏幕的右上角。
您可以禁用自动分析,但在这种情况下,IDA 的某些功能会产生奇怪的结果(例如,如果您尝试将数据转换为指令,IDA 不会跟踪控制流的所有线程,数据只会在屏幕上转换为指令...)
可以使用以下命令行之一启动 IDA:
ida 输入文件(启动图形界面)
idat 输入文件(开始文本界面)
将“64”后缀添加到命令名称以启动 64 位版本的 IDA。例如:
ida64 输入文件
将启动 64 位图形界面。
可识别以下命令行开关:
-a 禁用自动分析。(-a- 启用它)
-自主模式。IDA 不会显示对话框。
设计用于与 -S 开关一起使用。
-b#### 加载地址,一个十六进制数,以段落为单位
(一个段落为 16 个字节)
-B 批处理模式。IDA 将自动生成 .IDB 和 .ASM 文件
-c 反汇编新文件(删除旧数据库)
-C####以格式名称设置编译器:abi
-d指令
必须首先处理的配置指令
经过。示例:-dVPAGESIZE=8192
-D指令
必须在第二个处理的配置指令
经过。
-f 禁用 FPP 指令(仅限 IBM PC)
-h 帮助屏幕
-i#### 程序入口点(十六进制)
-I# 将 IDA 设置为即时调试器(0 表示禁用,1 表示启用)
-L#### 日志文件的名称
-M 禁用鼠标(仅文本)
-O####选项传递给插件。
此开关在 IDA 家庭版中不可用。
-o#### 指定输出数据库(隐含 -c)
-p####处理器类型
-P+ 压缩数据库(创建压缩的 idb)
-P 包数据库(创建解压缩的 idb)
-P- 不打包数据库(不推荐,参见Abort命令)
-r### 立即运行内置调试器
此开关的格式解释here
-R 加载 MS Windows exe 文件资源
-S### 打开数据库时执行脚本文件。
脚本文件扩展名用于确定哪个扩展名
将运行脚本。
可以在脚本名称后传递命令行参数。
例如:-S"myscript.idc argument1 "argument 2" argument3"
传递的参数存储在“ARGV”全局IDC变量中。
使用“ARGV.count”来确定参数的数量。
第一个参数“ARGV[0]”包含脚本名称。
此开关在 IDA 家庭版中不可用。
-T### 将输入文件解释为指定的文件类型
文件类型被指定为文件类型的前缀
在“加载文件”对话框中可见
要指定存档成员,请将其放在冒号字符之后,
例如:-TZIP:classes.dex
您可以指定任何嵌套路径:
-T
在这种情况下,IDA 不显示“加载文件”对话框
-t 创建一个空数据库。
-W### 指定 MS Windows 目录
-x 不创建分段
(与转储数据库命令配对使用)
此开关仅影响 EXE 和 COM 格式文件。
-z 调试:
00000001 drefs
00000002 偏移量
00000004 调情
00000008 idp模块
00000010 ldr 模块
00000020 插件模块
00000040 ids 文件
00000080 配置文件
00000100 检查堆
00000200 检查参数
00000400 剥皮机
00000800 队列
00001000 回滚
00002000 已有数据或代码
00004000型系统
00008000 显示所有通知
00010000 调试器
00020000 dbg_appcall
00040000 源码级调试器
00080000 可访问性
00100000 网络
00200000 全栈分析(单纯形法)
00400000 处理调试信息(例如 pdb、dwarf)
00800000 流明
此屏幕(适用于文本版本)
此屏幕(适用于文本版本)
此屏幕(适用于文本版本)
此屏幕(适用于文本版本)
此屏幕(适用于文本版本)
对于批处理模式,必须使用以下命令行调用 IDA:
ida -B 输入文件
这相当于:
ida -c -A -Sanalysis.idc 输入文件
文本界面 (idat.exe/idat) 更适合批处理模式,因为它使用较少的系统资源。但是,请注意,常规插件不会以批处理方式自动加载,因为 analysis.idc 文件退出并且内核没有机会加载它们。
有关详细信息,请参阅 IDC 子目录中的 analysis.idc 文件。
公司名称:上海道宁信息科技有限公司
地 址:上海浦东新区金桥路1399号(福建天安大厦)2105室
总 机::021-50318395,021-58995797,021-58996110
