IDA Pro 详细使用教程与逆向分析基础
1. 工具简介
IDA Pro(Interactive Disassembler Professional)全称是交互式反汇编专业版,是目前业界最成熟、先进的反汇编工具之一。它被公认为最好的静态反编译软件,为众多安全研究人员、0day 漏洞挖掘者以及 ShellCode 分析人士提供了不可或缺的利器。
IDA Pro 是一款交互式的、可编程的、可扩展的、支持多处理器的交叉平台工具,可用于分析 Windows、Linux、WinCE、macOS 等主机上的程序。它已成为事实上的分析恶意代码的标准工具,并迅速成为攻击研究领域的重要工具。IDA Pro 支持数十种 CPU 指令集,其中包括 Intel x86、x64、MIPS、PowerPC、ARM、Z80、68000、C8051 等等。
IDA Pro 的主要优点在于允许以交互方式更改显示数据的任何元素:
- 给函数、变量、数据结构等命名。
- 更改数据表示(如数字、各种编码的字符串、数据结构)。
- 搭建图表和代码流程图,简化对反汇编代码的理解。
- 使用 C++ 中有关函数参数和结构定义的类型信息,以便自动命名参数和变量。
- 自动识别和命名汇编代码中的标准库函数。
2. 安装与启动
在 IDA 安装完成后,桌面上通常会有两个主要图标。其中 idaq.exe 负责反编译 32 位可执行文件,idap64.exe 负责反编译 64 位可执行文件。点击运行后,用户可选择加载可执行文件的方式。
直接运行 IDA,会展示初始界面。"New" 选项表明反编译新可执行文件,"Go" 选项表明直接进入主界面,"Previous" 选项表明加载已反编译的文件选项。其中 "Previous" 会给出之前逆向过的文件列表。
进入主功能界面后,IDA 支持直接将文件拖入界面所在的区域中。
例如加载一个客户端程序,IDA 可识别当前加载的可执行文件类型,已识别出文件为 PE 可执行文件格式。下面 "Processor type" 选项表明当前处理器类型,IDA 能够识别的文件类型可依照默认选项加载。如果 IDA 不能识别的二进制代码(例如 ShellCode),可选择 "Binary file" 方式加载。
一旦选择 "Binary file" 方式加载文件,则需要用户手动填入加载段地址和相对偏移,对应上图 "Loading segment" 和 "Loading offset" 选项。该种方式主要应用场景为:分析动态保存的二进制代码、ShellCode 二进制代码分析等。选择此方式加载文件,IDA 不会自动分析代码,用户需根据具体需求自行反汇编二进制代码。
- Processor Type:可以指定在反汇编过程中使用的处理器模块。多数情况下,IDA 将从可执行文件的头中读取到信息,选择合适的处理器。
- Kernel Options:配置特定反汇编分析选项,IDA 可利用这些选项改进递归下降过程。通常 IDA 默认的都是最优的。
- Processor Options:选择适用于处理器模块的配置选项。
3. 界面功能详解
进行逆向分析之前需了解 IDA 界面有哪些功能,包括:导航条、反汇编窗口、其他辅助分析窗口。
