IDA Pro 工具介绍

用户1263308

发布于 2018-04-08 14:16:48

8.5K0

发布于 2018-04-08 14:16:48

文章被收录于专栏：代码GG之家代码GG之家

*转载请注明来自游戏安全实验室（GSLAB.QQ.COM）

原文地址:http://gslab.qq.com/article-112-1.html

IDA Pro（交互式反汇编其专业版，后续简称为IDA）软件是由Hex-Rays SA发布，属于当前最炙手可热的一款世界级逆向反汇编神奇。虽然IDA Pro不是唯一的二进制代码反汇编器，但它是众多安全人士的首选。IDA Pro属于收费软件，价格不菲，每个Key一年大概需要几千美元的费用，每卖出一份Key对应唯一水印的IDA软件。一旦被Hex-Rays SA发现随意传播IDA软件，极有可能会被Hex-Rays SA永久取消Key用户使用权。

IDA支持目前主流操作系统平台的常规使用，如支持的操作系统包括：Windows、Linux、Mac等。IDA支持数十种CPU指令集反编译，包括：x86、x64、Arm、MIPS、PowerPC等。通过IDA工具可将二进制可执行文件反编译，目前IDA支持主流平台的可执行文件反编译，如：Android平台的ELF文件、Windows平台的PE文件、IOS系统的Mach-O文件等。

本文只介绍IDA工具的基本功能，后续逆向篇中会介绍IDA在静态分析和动态调试阶段涉及常用功能。以下IDA功能介绍基于IDA Pro 6.6版本，IDA正版下载链接为：https://www.hex-rays.com/products/ida，读者可根据需求自行下载软件，目前市面有较多破解之后可免费使用的IDA软件，本文推荐读者尽可能使用正版IDA软件进行移动端游戏安全逆向。

1.1 IDA加载可执行文件

Windows平台中IDA安装过程中默认路径在C盘的Program Files目录下，安装成功之后会在桌面生成下图所示32位、64位程序，对应安装包文件名如下图所示：

其中idaq.exe负责反编译32位可执行文件，idap64.exe负责反编译64位可执行文件。点击运行idaq之后用户便可选择加载可执行文件的方式，对应界面如下所示：

其中“New”选项表明反编译新可执行文件，“Go”选项表明直接进入主界面，“Previous”选项表明加载已反编译的文件选项。当选择New方式进入IDA主界面时如下所示：

上图为IDA主要功能界面，IDA支持直接将文件拖入界面所在的区域中，利用测试过程利用文件名为Test的可执行PE文件，对应加载文件的主要选项如下图所示：

上图界面可识别当前玩家加载的可执行文件类型，上图已识别出Test文件为PE可执行文件格式。下面“Processor type”选项表明当前处理器类型，IDA能够识别的文件类型可依照IDA默认选项加载可执行文件，如果IDA不能识别的二进制代码，例如ShellCode代码，可选择“Binary file”方式加载，选择“Binary file”方式加载，对应界面如下所示：

一旦选择“Binary file”方式加载文件，则需要用户手动填入加载段地址和相对偏移,对应上图“Loading segment”和”Loading offset”选项。该种方式主要应用场景为：分析动态保存的二进制代码、ShellCode二进制代码分析等。选择“Binary file”方式加载文件，IDA不会自动分析代码，用户需根据具体需求自行反汇编二进制代码。本文侧重介绍IDA可识别的二进制可执行文件且能够自动反编译功能。

1.2 IDA分析可执行文件

上面部分介绍IDA软件中如何加载二进制可执行文件，IDA会对可识别的文件进行代码反编译，反编译过程依据文件大小而定，例如：几百KB大小的文件，IDA可短时间分析完毕；几兆更大文件，IDA则自动分析一段时间，越大的文件IDA分析的时间通常会越长（因为可执行文件越大，意味着可执行文件中代码段也越大，IDA分析时间自然会越长）。

IDA软件会利用回归方式递进分析可执行文件反汇编代码，分析过程如下所示：

上图两处红框内容不断变化可推断IDA仍处于自动分析代码过程，进度条处黄色向上箭头图标表明当前IDA分析到的位置，下面部分变化的偏移数字表明当前分析到的代码偏移位置。

判断IDA分析完毕的三种方法分别为：

1）下图IDA的“Output Window”窗口输出“The initial autoanalysis has been finished”日志时，则说明IDA已分析完毕，对应Log如下图所示：

2）下图所示进度条处黄色向上箭头消失时，则表明IDA分析完毕。

3）下图中IDA界面左下角AU处于”idle”状态时，也表明IDA分析完毕。

通过以上三种方式可观察到IDA是否分析完毕。IDA分析完毕之后会将光标停留在需分析的可执行文件入口函数处。如下图分析Windows程序，程序分析完毕之后，IDA把当前光标停留在下图wWinMain函数中：

本节主要介绍IDA分析代码过程及如何判断IDA分析完毕。

1.3 IDA功能界面

经过IDA的加载和分析过程之后，用户便可根据需求自行逆向分析。进行逆向分析之前需了解IDA界面有哪些功能，包括：导航条、反汇编窗口、其他辅助分析窗口。

1）导航条

IDA主界面中存在一项颜色各异的导航条，导航条如下图：

通过导航条可了解分析可执行文件各部分数据分布情况，各种颜色代表含义如下：

蓝色：表示常规的指令函数，绝大部分为用户编写的代码，上图中绝大部分数据属于蓝色数据。

黑色：表示间隙部分内容，可执行文件中包含多个节段，相邻节段之间存在空隙，红色表示空隙部分。

银白色：表示数据项部分内容，可执行文件中会包含大量数据，银白色表示数据项部分内容。

粉色：表示外部导入符号，通常可执行文件会导入外部的库函数。

暗黄色：表示IDA未识别的内容，需要用户根据需求自行分析。

以上基于IDA默认设置介绍各种颜色在导航条的含义，IDA同时提供了颜色设置，方便用户根据需求选择合适的颜色，对应“Options”菜单的“Colors”选项中，对应选项如下图所示：

用户可在“IDA Colors”对话框的选择“Navigation band”Table项，在对应选项中设置各项数据的颜色，方便实际场景的分析。

2）反汇编窗口

反汇编窗口属于逆向分析过程中关注频率最高的窗口，通过此窗口可以逆向分析反汇编代码，移动端中分析频率最高的属于Arm指令集，包括：Arm 32为指令集（常用语Android平台Native层反汇编代码分析）、Thumb 16位指令集（常用于IOS平台32位Mach-O文件的反汇编代码分析）、Arm 64位指令集（常用于IOS平台64位Mach-O文件的反汇编代码分析）。反汇编窗口属于“IDA View-A”标签项内容，对应下图红框部分选项：