IDA找到main函数之后的初步分析

——————————————————————————————|

IDA是静态调试。 |

IDA支持的处理器模块取决于procs目录下有多少个文件。 |

空格：从函数到流程图切换 |

函数：以函数名和proc near；交叉引用，右键 |

地址之后，以var开头的都是局部变量

*****************************************************************************

参数：arg_

局部变量:var_

*****************************************************************************

——————————————————————————————|

检查栈平衡又叫做校验堆栈，cmp call mov 三个代码连着使用

分析：

1.保存寄存器环境与恢复寄存器环境相对应；

如果顺序由三个连续的push，后面有三个连续的pop，就是在保存寄存器环境；

mov ebp，esp；开辟栈帧

mov esp，ebp；关闭栈帧

2.

将开辟的局部变量控空间填充为0cccch的目的是为了程序的健壮性；

rep；重复操作前缀

stos；串操作指令 使用条件：ecx不为0

3.sub_xxxxxx：是解析不出来的；

地址xxxxxx处的子例程（函数）

4.粉色的：就没办法往里面跟了，已经到达IAT，是系统的东西，是导入的函数

5.图中有注释的，怕被忽视掉，这里再写一遍，

校验堆栈的代码：

cmp ebp,esp;

call 0f81109h;

mov esp,ebp;