启动 IDA
启动 IDA,有一个欢迎界面
之后有一个对话框
选择 New 将启动一个对话框来选择将要分析的文件
选择 Go 将使 IDA 打开一个空白的工作区
如果要选择分析的文件,可以直接拖到 IDA 工作区
也可以在菜单栏选择 File -> Open 来打开
选择 Previous 可以打开其下“最近用过的文件”列表中的一个文件
历史记录列表的最大长度为 10,可以通过编辑 idagui.cfg 或 idatui.cfg 来修改
文件加载
选择 File -> Open 打开一个新文件,会显示一个加载对话框
文件类型列表,列表中将显示最适合处理选定文件的 IDA 加载器
IDA 通过执行 loaders 目录中的每一个文件加载器,来确定能够识别新文件的加载器,从而建立了这个列表
上图中 Windows PE 加载器(pe.ldw)和 MS-DOS EXE 加载器(dos.ldw)均声称它们能够识别选定的文件,因为 PE 文件格式是 MS-DOS EXE 文件格式的扩展形式
Binary File(二进制文件)是这个列表中的最后一个选项,它会一直显示,因为它是 IDA 加载无法识别的文件的默认选项,它提供了最低级的文件加载方法
如果只有 Binary File,这表明没有加载器能够识别选定的文件
Processor Type(处理器类型)下拉菜单中可以指定在反汇编过程中使用的处理器模块(在 IDA 的 procs 目录中)
多数情况下,IDA 将根据它从可执行文件的头中读取到的信息,选择合适的处理器
如果 IDA 无法正确确定与所打开的文件关联的处理器类型,在继续文件加载操作前,需要手动选择一种处理器类型
Loading Segment(加载段),Loading Offset(加载偏移量),如果同时选择了二进制文件输入格式和一种 x86 系列处理器,Loading Segment 和 Loading Offset 字段将处于活动状态
由于二进制加载器无法提取任何内存布局信息,在这里输入的段和偏移量值将共同构成所加载文件内容的基址
在最初的加载过程中,如果忘记指定基址,可以在任何时候使用 Edit -> Segments -> Rebase Program 命令来修改 IDA 镜像的基址
Kernel Options(核心选项)用于配置特定的反汇编分析选项,IDA 可利用这些选项改进递归下降过程
绝大多数情况下,默认选项提供的都是最佳的反汇编选项
Processor Options(处理器选项)用来选择适用于选中的处理器模块的配置选项,但它不一定对每个处理器模块有效
其他选项复选框可帮助用户更好地控制文件加载过程