IDA静态逆向分析工具使用详解

1.目录结构
cfg(配置文件)
idc(包含IDA内置脚本语言IDC所需的核心文件)
ids(目录包含一些符号文件【IDA语法中的IDS文件】，这些文件用于描述可被加载到IDA的二进制文件引用的共享库的内容，包括 函数所需参数的数量，信息和返回类型。)
loaders(目录用于识别和解析PE或ELF等已知文件格式的IDA扩展)
plugins(目录包含IDA所需的插件)
procs(目录包含IDA版本所支持的处理器模块，处理器模块为IDA提供机器语言-汇编语言转换功能)
sig(目录包含IDA在各种模式匹配操作中利用的现有代码的签名)
til(目录包含一些类型库信息，IDA通过这些信息记录特定于各种编译器库的数据结构的布局)
}
2.生成的四个文件扩展名
IDA会创建一个数据库 组件保存在4个文件中，扩展名为
{

.id0 二叉树形式的数据库
.id1 描述每个程序字节的标记
.nam 包含与IDA的Named窗口中显示的给定程序位置有关的 索引信息。
.til 用于储存与一个给定数据库的本地类型定义有关的信息。
} （IDA专用，IDA以外的环境很难对他们编辑）
【这4个文件会被存档为IDB文件，如果数据库正常关闭，绝对不会看见 id0,id1,nam,til文件】

3. 基本规则
1.不提供撤销功能指令

1. 几乎所有的操作都有与其对应的菜单项、热键和工具栏按钮。
2. IDA提供方便的、基于上下文的鼠标右键操作菜单。

4.常见前缀
sub_xxxxxx ：地址xxxxx处的子列程。
loc_xxxxxx ：地址xxxxx处的一个指令。
byte_xxxxxx ：地址xxxxx处的8位数据。
word_xxxxxx ：地址xxxxx处的16位数据。
dword_xxxxxx ：地址xxxxx处的32位数据。
unk_xxxxxx ：地址xxxxx处的未知大小数据。