[re入门]IDA和OD的基本使用（持续更新）（上）

工具的使用

第一章 IDA使用介绍

简介

基本使用：1.静态分析功能

显示设置

代码定位：

栈帧分析

结构体分析：

程序Patch：

程序与代码的转换：

IDA的动态调试：

IDA安装插件

IDA其他常用的一些插件

IDA脚本功能

第二章 OD的简介

OD的窗口

常用快捷键

断点功能

自己的记性不太好，所以做了一个笔记，总结了一下逆向常用工具IDA和OD的使用，用来平时的翻阅，也希望可以帮助到大家。

第一章 IDA使用介绍

简介

空格：切换代码窗口的显示方式（在图形窗口与文本窗口之间切换）

窗口介绍：“View”–“open subviews”, 可以看到IDA的各个子窗口

常用快捷键：

![在这里插入图片描述](https://ucc.alicdn.com/images/user-upload-01/20210303191810237.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2MzYzMjQ5,size_16,color_FFFFFF,t_70

基本使用：

1.静态分析功能

2.函数控制流图显示

3.F5 Hex-Rays插件

4.变量类型指定 快捷键y

5.变量重命名 点住这个变量 快捷键n

显示设置

可在“Options”-“Gemeral”-"Disassembly"窗口中设置反汇编的显示内容模式

代码定位：

1、交叉引用

函数调用关系

字符串引用关系

2、字符串定位

提取所有字符串shift+f12

查看交叉引用 ：快捷键X

栈帧分析

双击任意局部变量将进入栈帧窗口视图

结构体分析：

IDA可对结构体进行自定义并对结构体数据进行解析, 以增强程序的可读性，步骤如下：

1、Shift + F1：打开本地类型；

2、insert：插入自定义的结构体；这里可以直接复制c语言定义；

3、Shift + F9：打开结构体；

4、Insert：添加上面创建的结构体；

5、选取相应数据，Alt + Q 将其上面的结构体进行解析。

程序Patch：

• Patch指修改程序中的指令达到一些目的
  绕过反调试
  绕过验证
  其他
• 将光标置于某条指令
• Edit -> Patch Program -> Change bytes来修改代码,如果这里你安装了keypatch插件，那么是可以直接通过修改汇编指令来实现程序Patch的。
• 应用Path：Edit -> Patch Program -> Apply patch to input file

程序与代码的转换：

• 若某个函数未被引用，可能无法被IDA识别
• 导航窗
• 手动定位，识别为函数：快捷键 p
• 将代码转换为数据：快捷键 d
• 将数据转换为代码：快捷键 c
  通常用来清除花指令等

IDA没有撤销功能，慎重转换

IDA的动态调试：

IDA也提供了动态调试的功能,调试步骤如下：

• Debugger -> Select debugger
  选择local windows debugger
• F2对入口点处或者其他地方下断点
• Debugger -> Start process 启动调试
• 优点
  可以在F5的窗格中单步跟踪伪代码
• 缺点
  调试功能没有OllyDBG等强大，没有反调试、dump、硬件断点、内存断点等功能。

IDA安装插件

插件安装：复制相应文件到ida安装目录plugin文件夹

• Hex-Rays Decompiler：F5插件
  支持x86与x64
  6.8支持arm
  6.9支持arm64
  6.95支持PowerPC
  
• IDAPython：IDC脚本的Python接口
  

IDA其他常用的一些插件

IDA FLIRT Signature Database – 用于识别静态编译的可执行文件中的库函数

Find Crypt – 寻找常用加密算法中的常数（需要安装 yara-python）

IDA signsrch – 寻找二进制文件所使用的加密、压缩算法

Ponce – 污点分析和符号化执行工具

snowman decompiler – C/C++反汇编插件（F3 进行反汇编）

CodeXplorer – 自动类型重建以及对象浏览（C++）（jump to disasm)

IDA Ref – 汇编指令注释（支持arm，x86，mips）

auto re – 函数自动重命名

nao – dead code 清除HexRaysPyTools – 类/结构体创建和虚函数表检测

DIE – 动态调试增强工具，保存函数调用上下文信息

sk3wldbg – IDA 动态调试器，支持多平台

idaemu – 模拟代码执行（支持X86、ARM平台）

Diaphora – 程序差异比较

Keypatch – 基于 Keystone 的 Patch 二进制文件插件

FRIEND – 哪里不会点哪里，提升汇编格式的可读性、提供指令、寄存器的文档等

SimplifyGraph – 简化复杂的函数流程图

bincat – 静态二进制代码分析工具包，2017 Hex-Rays 插件第一名

golang_loader_assist – Golang编译的二进制文件分析助手