菜单 学习猿地 - LMONKEY

VIP

开通学习猿地VIP

尊享10项VIP特权 持续新增

知识通关挑战

打卡带练!告别无效练习

接私单赚外块

VIP优先接,累计金额超百万

学习猿地私房课免费学

大厂实战课仅对VIP开放

你的一对一导师

每月可免费咨询大牛30次

领取更多软件工程师实用特权

入驻
372
0

逆向分析学习

原创
05/13 14:22
阅读数 97155

OD只能调试32位的程序,IDA 不同于OD,既可以查看32位的程序编码,同时也能反编译64位的程序编码。

IDA 32位调试程序时,可以使用F5键来把汇编代码重新呈现除其C语言对应的代码逻辑;

IDA 根据PE结构来解析二进制代码,以区别出指令和数据。也就是操作符和操作数;

 

1.如何判断程序时32位还是64位

  同时也需要判断PE的文件头,NT-->FilenameHeader-->machine来说明程序是在哪个平台上进行的;

  PE..d†字样后的符号是一个64位文件。而crackme.exe的PE之后是:PE..L,所以这是一个32位文件;

 

Graph View和 Text View的相互转换,Graph View相对于Text View来说更加能了解程序的整体逻辑与架构,Text View则更适合用来查看相对应的汇编代码;

反编译的一些技巧总结:可以搜索关键Ascii码值,来定位关键字符/字符串,来定位到需要操作的代码片段,大大减少代码分析量;

 

发表评论

0/200
372 点赞
0 评论
收藏
为你推荐 换一批