ida ( itương tác d là trình biên dịch mã): Đây là trình dịch mã phổ biến. Thông minh nhất, linh hoạt nhất và được nhiều nhà nghiên cứu bảo mật sử dụng, ida được phát triển bởi hexrays: https://www.hex-rays.com/index.shtml Trong bài viết này tôi sẽ tập trung làm rõ một số phần như sau:
- Bắt đầu bằng ida
- Một số cửa sổ quan trọng trong ida
- Tầm quan trọng của việc sử dụng ida để phân tích và dịch ngược
- Mới: Mở tệp mới để phân tích
- go: Vào thẳng giao diện chính
- trước đó: Tải lại các tệp đã phân tích trước đó để phân tích lại
- Cửa sổ chức năng: Cửa sổ này liệt kê tất cả các chức năng của chương trình. Sau khi phân tích xong, ida sẽ liệt kê và đưa ra danh sách chức năng, bao gồm địa chỉ bắt đầu, địa chỉ kết thúc, các tham số và thuộc tính của từng chức năng.
- Cửa sổ xuất: Cửa sổ này hiển thị một số thông tin xuất ra trong quá trình xử lý ida, bạn không cần quan tâm quá nhiều đến cửa sổ này khi sử dụng ida
- ida View: Cửa sổ này có 2 chế độ hiển thị: hiển thị dưới dạng mã hợp ngữ hoặc chia thành các khối lệnh có liên kết giữa các khối để thực hiện các cấu trúc vòng, rẽ nhánh.
- Tổng quan về đồ họa: Cửa sổ này xuất hiện ở chế độ hiển thị khối cùng với cửa sổ xem ida. Cửa sổ này cung cấp cho người dùng cái nhìn tổng quan về chức năng hoặc toàn bộ chương trình. Thông qua cửa sổ này, người dùng có thể hiểu được mức độ đơn giản/phức tạp của việc giám sát một chức năng/chương trình và có thể nhanh chóng di chuyển đến các vị trí trong toàn bộ chức năng/chương trình để quan sát tổng quan và chi tiết của mô-đun. Khi cuộn trên phần tổng quan đồ họa, chúng ta sẽ thấy các khối lệnh ở vị trí tương ứng trong cửa sổ xem ida
- Chế độ xem thập lục phân: Cửa sổ này cung cấp thông tin mã thập lục phân và cũng cho phép người dùng chỉnh sửa mã thập lục phân trực tiếp.
- Chế độ xem nhập: Cửa sổ này hiển thị các mô-đun được chương trình sử dụng và mỗi mô-đun cụ thể được tải từ thư viện nào
Bắt đầu với ida
Ngoài việc chọn Mới để mở một tệp mới để phân tích, tại giao diện chính, người dùng còn có thể vào menu Tệp → Mở để mở tệp được phân tích để phân tích. . Trong bài này, chúng ta sẽ mở chương trình lordpe trong ví dụ.
Khi chọn một tệp để phân tích, ida sẽ hiển thị hộp thoại liệt kê các loại tệp cần thiết. Tại đây chúng ta có thể chọn tài nguyên để tải lên hoặc chọn phương thức tải. Thông thường các giá trị này nên để ida mặc định.
Sau khi nhấp vào ok, ida sẽ tự động tải các tài nguyên cần thiết theo thông số cấu hình đã chọn. Sau khi quá trình tải kết thúc, ida sẽ sắp xếp thông tin tương ứng trong các khu vực cửa sổ khác nhau.
Một số cửa sổ quan trọng trong ida
Các phần sau đây mô tả một số cửa sổ chính chứa các chức năng quan trọng và cần thiết cho quá trình tháo gỡ.
