3.0 熟悉IDAPro静态反汇编器

IDA Pro 是一种功能强大且灵活的反汇编工具，可以在许多领域中发挥作用，例如漏洞研究、逆向工程、安全审计和软件开发等，被许多安全专家和软件开发者用于逆向工程和分析二进制代码。它支持大量的二进制文件格式和CPU架构，并提供了强大的反汇编和反编译功能。使用IDA Pro，用户可以查看和编辑汇编代码、查看函数和程序结构，并分析代码执行逻辑和漏洞。此外，IDA Pro还具有脚本编程和插件扩展功能，使用户能够轻松自定义和改进其功能。

IDA官方网站：https://hex-rays.com/

IDA的启动非常简单，只需要双击打开ida.exe即可，打开后读者可看到如下图所示的提示界面，当然读者如果需要逆向分析64位应用程序则需要打开文件内的ida64.exe即可，一般而言读者可通过New按钮来选择新建一个反汇编任务，也可以直接通过Go按钮来直接进入反汇编工具主页，当然如果读者有以前分析过的工程项目则可以通过Previous按钮快速跳转到待分析项目中；

我们以New为例，当打开后则提示读者需要选择一个被分析文件，当选择后会自动弹出如下所示的选项卡，选项卡中已经为我们识别出待分析程序的相关内容，读者只需要点击OK按钮即可打开IDA桌面环境；

当读者成功加载了被分析文件，则IDA会呈现出如下图所示的，其中最左侧的Functions列表代表的是当前IDA所分析出的内部函数，这些函数片段通常是编程者自己的一些子过程以及一些第三方API接口，桌面的右侧最大的部分则是IDA的主要工作台，其中IDA View-A代表的是当前被分析程序的反汇编代码，Hex View-1则是十六进制格式的机器码，Structures代表的是IDA所解析出来的结构体参数，Enums代表的是枚举类型的定义数据，Imports是导入表，Exports则是导出表。在IDA的最底部则是输出信息，此处的信息有IDA自身信息，也有程序调试信息等；

在桌面的最顶端是IDA的彩色水平带也叫做导航带，导航带中是被加载文件地址空间的线性视图，默认情况下它会呈现出二进制文件的整个地址范围，读者可以右击导航带内任何位置，并选择一个可用的缩放选项，放大或缩小显示的地址范围，同时导航带中会存在一个黄色的指针，当点击后会提示用户当前指针所对应的文件位置，该导航带对于代码分析可以起到很好的预览目的。

在IDA窗口中读者最需要关注的窗口则是IDA View-A反汇编窗口，在反汇编窗口中读者可根据自身需求对代码进行分析，其次IDA窗口中可实现动态绘图的功能，当读者需要对特定区域中特定函数进行绘图时只需要选中该函数的头部，并右键选择GraphView按钮，则可将当前函数绘制成图；

当绘制成流程图以后，读者可通过按下Ctrl+鼠标中键滚动以此来实现对流程图的放大和缩小，在绘图模式下读者也可以通过点击不同的分支结构从而实现跳转到不同位置处，在绘图模式下，一般而言绿色线条代表跳转为真，红色线条代表跳转为假，而蓝色线条则代表无条件跳转，另外按下空格还可实现汇编与绘图窗口的灵活切换，如下图所示；

除了简单的绘图功能外IDA还提供了F5插件，运用该插件可对特定区域反汇编代码生成C语言格式的流程代码，读者只需要选中一段内存代码片段，并按下F5即可看到如下伪代码输出格式；

针对IDA工具的使用技巧还有许多，此处仅仅只是抛砖引玉带读者入门，如果需要获取更多关于IDA工具的使用方法，还得通过不同的积累学习，本章不可能将IDA中的每一个细节都概括到；