IDA-Pro入门知识

快捷键指南

快捷键	指令
Tab	在反汇编视图和伪代码视图之间切换
F5	转换为伪代码
N	对函数或变量进行重命名
U	取消数据定义
C	将数据解析为代码
M	将当前数据类型转成为枚举成员
Y	对函数或变量进行类型定义
G	跳转函数地址
/	对代码进行注释
X	查找函数交叉引用/查找变量的本地引用
Space	列表视图与图形视图切换
Shift + F12	打开字符串表
Ctrl + Alt + X	查找变量全局引用
Ctrl + Shift + W	调出数据库快照
Ctrl + Shift + T	调出数据库快照管理器

数据类型定义

byte / char / uint8 / int8    -> db 1个字节
word / short / uint16 / int16 -> dw 2个字节
dword / int / uint …         -> dd 4个字节 （32位指针）
qword / int64 …              -> dq 8个字节 （64位指针）

大部分情况下，整数以小端序存储在内存

0xA1B2C3D4 存储到内存的顺序为 D4 C3 B2 A1

前缀说明

前缀	说明
sub_	指令和子函数起点
locret_	返回指令
loc_	指令
off_	数据，包含偏移量
seg_	数据，包含段地址值
asc_	数据，ASCII字符串
byte_	数据，字节（或字节数组）
word_	数据，16位数据（或字数组）
dword_	数据，32位数据（或双字数组）
qword_	数据，64位数据（或4字数组）
flt_	浮点数据，32位（或浮点数组）
dbl_	浮点数，64位（或双精度数组）
tbyte_	浮点数，80位（或扩展精度浮点数）
stru_	结构体(或结构体数组)
algn_	对齐指示
unk_	未处理字

查找函数地址偏移量

打开Pseudocode窗口在左下角可以找到函数位于文件的地址偏移量

Donate