0x00 前言

本文是为了记载一些自己学习过程中发现的IDA使用小技巧,以便以后再次回想和复习,每个tip下面都会有诺干个链接以便拓展学习。

0x01 正文

  1. C键可以让ida再次分析程序,即实现从数据转化为代码的过程。
    [[求助]看《加密与解密》的一些疑问](https://bbs.pediy.com/thread-29374.htm) IDA-数据与代码、函数互相转换
  2. 堆栈不平衡,无法F5大法。可以先在option->general,把Stack pointer打开,然后选中最近的call,alt+k修改堆栈(把值改为函数最后的负数)。
    BUUCTF re:Youngter-drive
  3. IDA里面的反调试特征,__readgsqword(0x60)得到指向PEB64的指针,__readfsdword(0x30)得到指向PEB32的指针,TEB(0x30)=PEB。
    反调试
  4. 数据段明显为字符串,但IDA未识别出来,可使用快捷键A转换为字符串

5.【CTF】HWS计划2020安全精英夏令营培训 这个课程挺好的,基本上基础都过了一遍

6.在调试程序的时候有动态基址,可以IDA -> Edit -> Segments -> Rebase program修改IDA内的默认基址