IDA-view | 反汇编窗口
图形视图
将程序分解成很多基本块,类似流程图,上图为IDA图形视图,Ctrl+鼠标滑轮 控制视图大小比较容易
不同彩色箭头区分不同的流:正常流,跳转流,调用流
跳转流:绿色(YES执行分支),红色(NO不执行分支)
F12,显示非彩色的程序流
文本视图
空格切换
options->General是否添加行前缀
箭头窗口:虚线->条件跳转,jz(jump if zero)同je,jbe(小于或等于)跳转。
实线:无条件跳转,JMP无条件跳转指令,逆向箭头一般表明存在循环
subview
Ctrl+1次级窗口一览
Functions :显示虚拟地址,区域名称,字节长度
Hex-View:显示ASCLL码,对应字节,以下第一次可以对应查询指定可显示字符的地址,返回IDA-View的文本视图;????一般是.bss节
Exports:导出窗口;对与可执行文件至少包含一个程序执行入口点:start(IDA 取名)
Inports:导入窗口,使用共享库才有导入函数(静态链接不需要外部依赖关系,无需导入),使用dlopen,dlsym,LoadLibrary,GetProcAddress机制加载的符号不会被导入
Strings:尽可能的提取二进制文件中的字符串,至少5个C风格,已null结尾的7位ASCLL字符串
Names:虚拟地址的符号化
自动生成名称
