IDA Pro权威指南2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

IDA Pro权威指南PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一部分 IDA简介2

第1章 反汇编简介2

1.1反汇编理论2

1.2何为反汇编3

1.3为何反汇编3

1.3.1分析恶意软件4

1.3.2漏洞分析4

1.3.3软件互操作性4

1.3.4编译器验证4

1.3.5显示调试信息5

1.4如何反汇编5

1.4.1基本的反汇编算法5

1.4.2线性扫描反汇编6

1.4.3递归下降反汇编7

1.5小结10

第2章 逆向与反汇编工具11

2.1分类工具11

2.1.1 file11

2.1.2 PE Tools13

2.1.3 PEiD14

2.2摘要工具14

2.2.1 nm15

2.2.2 ldd16

2.2.3 objdump18

2.2.4 otool18

2.2.5 dumpbin19

2.2.6 c++filt19

2.3深度检测工具20

2.3.1 strings20

2.3.2反汇编器22

2.4小结23

第3章 IDA Pro背景知识24

3.1 Hex-Rays公司的反盗版策略24

3.2获取IDA Pro25

3.2.1 IDA版本25

3.2.2 IDA许可证25

3.2.3购买IDA26

3.2.4升级IDA26

3.3 IDA支持资源26

3.4安装IDA27

3.4.1 Windows安装28

3.4.2 OS X和Linux安装28

3.4.3 IDA与SELinux29

3.4.4 32位IDA与64位IDA29

3.4.5 IDA目录的结构30

3.5 IDA用户界面30

3.6小结31

第二部分 IDA基本用法34

第4章 IDA入门34

4.1启动IDA34

4.1.1 IDA文件加载35

4.1.2使用二进制文件加载器37

4.2 IDA数据库文件38

4.2.1创建IDA数据库39

4.2.2关闭IDA数据库40

4.2.3重新打开数据库41

4.3 IDA桌面简介42

4.4初始分析时的桌面行为44

4.5 IDA桌面提示和技巧45

4.6报告bug45

4.7小结46

第5章 IDA数据显示窗口47

5.1 IDA主要的数据显示窗口47

5.1.1反汇编窗口47

5.1.2函数窗口52

5.1.3输出窗口52

5.2次要的IDA显示窗口52

5.2.1十六进制窗口52

5.2.2导出窗口53

5.2.3导入窗口54

5.2.4结构体窗口54

5.2.5枚举窗口55

5.3其他IDA显示窗口55

5.3.1 Strings窗口55

5.3.2 Names窗口57

5.3.3段窗口58

5.3.4签名窗口58

5.3.5类型库窗口59

5.3.6函数调用窗口59

5.3.7问题窗口60

5.4小结61

第6章 反汇编导航62

6.1基本IDA导航62

6.1.1双击导航62

6.1.2跳转到地址64

6.1.3导航历史记录64

6.2栈帧65

6.2.1调用约定66

6.2.2局部变量布局69

6.2.3栈帧示例70

6.2.4 IDA栈视图73

6.3搜索数据库77

6.3.1文本搜索77

6.3.2二进制搜索77

6.4小结78

第7章 反汇编操作79

7.1名称与命名79

7.1.1参数和局部变量79

7.1.2已命名的位置80

7.1.3寄存器名称82

7.2 IDA中的注释82

7.2.1常规注释83

7.2.2可重复注释84

7.2.3在前注释和在后注释84

7.2.4函数注释84

7.3基本代码转换85

7.3.1代码显示选项85

7.3.2格式化指令操作数87

7.3.3操纵函数88

7.3.4数据与代码互相转换93

7.4基本数据转换94

7.4.1指定数据大小94

7.4.2处理字符串95

7.4.3指定数组97

7.5小结99

第8章 数据类型与数据结构100

8.1识别数据结构的用法102

8.1.1数组成员访问102

8.1.2结构体成员访问107

8.2创建IDA结构体112

8.2.1创建一个新的结构体（或联合）112

8.2.2编辑结构体成员113

8.2.3用栈帧作为专用结构体115

8.3使用结构体模板115

8.4导入新的结构体118

8.4.1解析C结构体声明118

8.4.2解析C头文件119

8.5使用标准结构体120

8.6 IDA TIL文件123

8.6.1加载新的TIL文件123

8.6.2共享TIL文件123

8.7 C++逆向工程基础124

8.7.1 this指针124

8.7.2虚函数和虚表125

8.7.3对象生命周期128

8.7.4名称改编129

8.7.5运行时类型识别130

8.7.6继承关系131

8.7.7 C++逆向工程参考文献132

8.8小结132

第9章 交叉引用与绘图功能133

9.1交叉引用133

9.1.1代码交叉引用134

9.1.2数据交叉引用136

9.1.3交叉引用列表138

9.1.4函数调用139

9.2 IDA绘图140

9.2.1 IDA外部（第三方）图形140

9.2.2 IDA的集成绘图视图147

9.3小结149

第10章 IDA的多种面孔150

10.1控制台模式IDA150

10.1.1控制台模式的共同特性150

10.1.2 Windows控制台151

10.1.3 Linux控制台152

10.1.4 OS X控制台154

10.2使用IDA的批量模式156

10.3小结157

第三部分 IDA高级应用160

第11章 定制IDA160

11.1配置文件160

11.1.1主配置文件：ida.cfg160

11.1.2 GUI配置文件：idagui.cfg161

11.1.3控制台配置文件：idatui.cfg163

11.2其他IDA配置选项164

11.2.1 IDA颜色165

11.2.2定制IDA工具栏165

11.3小结167

第12章 使用FLIRT签名来识别库168

12.1快速库识别和鉴定技术168

12.2应用FLIRT签名169

12.3创建FLIRT签名文件172

12.3.1创建签名概述172

12.3.2识别和获取静态库173

12.3.3创建模式文件174

12.3.4创建签名文件175

12.3.5启动签名178

12.4小结178

第13章 扩展IDA的知识179

13.1扩充函数信息179

13.1.1 IDS文件181

13.1.2创建IDS文件182

13.2使用loadint扩充预定义注释184

13.3小结185

第14章 修补二进制文件及其他IDA限制186

14.1隐藏的补丁程序菜单186

14.1.1更改数据库字节187

14.1.2更改数据库中的字187

14.1.3使用汇编对话框188

14.2 IDA输出文件与补丁生成189

14.2.1 IDA生成的MAP文件189

14.2.2 IDA生成的ASM文件190

14.2.3 IDA生成的INC文件191

14.2.4 IDA生成的LST文件191

14.2.5 IDA生成的EXE文件191

14.2.6 IDA生成的DIF文件191

14.2.7 IDA生成的HTML文件192

14.3小结192

第四部分 扩展IDA的功能194

第15章 编写IDA脚本194

15.1执行脚本的基础知识194

15.2 IDC语言196

15.2.1 IDC变量196

15.2.2 IDC表达式197

15.2.3 IDC语句197

15.2.4 IDC函数198

15.2.5 IDC对象200

15.2.6 IDC程序200

15.2.7 IDC错误处理201

15.2.8 IDC永久数据存储202

15.3关联IDC脚本与热键203

15.4有用的IDC函数204

15.4.1读取和修改数据的函数204

15.4.2用户交互函数205

15.4.3字符串操纵函数206

15.4.4文件输入/输出函数206

15.4.5操纵数据库名称207

15.4.6处理函数的函数207

15.4.7代码交叉引用函数208

15.4.8数据交叉引用函数209

15.4.9数据库操纵函数209

15.4.10数据库搜索函数210

15.4.11反汇编行组件210

15.5 IDC脚本示例211

15.5.1枚举函数211

15.5.2枚举指令212

15.5.3枚举交叉引用212

15.5.4枚举导出的函数214

15.5.5查找和标记函数参数215

15.5.6模拟汇编语言行为217

15.6 IDAPython219

15.7 IDAPython脚本示例220

15.7.1枚举函数220

15.7.2枚举指令221

15.7.3枚举交叉引用222

15.7.4枚举导出的函数222

15.8小结223

第16章 IDA软件开发工具包224

16.1 SDK简介225

16.1.1安装SDK225

16.1.2 SDK的布局225

16.1.3配置构建环境226

16.2 IDA应用编程接口227

16.2.1头文件概述228

16.2.2网络节点230

16.2.3有用的SDK数据类型237

16.2.4常用的SDK函数238

16.2.5 IDA API迭代技巧242

16.3小结246

第17章 IDA插件体系结构247

17.1编写插件247

17.1.1插件生命周期249

17.1.2插件初始化250

17.1.3事件通知251

17.1.4插件执行252

17.2构建插件254

17.3插件安装258

17.4插件配置259

17.5扩展IDC259

17.6插件用户界面选项262

17.6.1使用SDK的“选择器”对话框262

17.6.2使用SDK创建自定义表单265

17.6.3仅用于Windows的用户界面生成技巧269

17.6.4使用Qt生成用户界面269

17.7脚本化插件271

17.8小结272

第18章 二进制文件与IDA加载器模块273

18.1未知文件分析274

18.2手动加载一个Windows PE文件275

18.3 IDA加载器模块281

18.4使用SDK编写IDA加载器282

18.4.1“傻瓜式”加载器284

18.4.2构建IDA加载器模块288

18.4.3 IDA pcap加载器288

18.5其他加载器策略294

18.6编写脚本化加载器294

18.7小结296

第19章 IDA处理器模块297

19.1 Python字节码298

19.2 Python解释器298

19.3使用SDK编写处理器模块299

19.3.1 processor_t结构体299

19.3.2 LPH结构体的基本初始化300

19.3.3分析器303

19.3.4模拟器308

19.3.5输出器310

19.3.6处理器通知315

19.3.7其他processor_t成员316

19.4构建处理器模块318

19.5定制现有的处理器322

19.6处理器模块体系结构324

19.7编写处理器模块325

19.8小结326

第五部分 实际应用328

第20章 编译器变体328

20.1跳转表与分支语句328

20.2 RTTI实现332

20.3定位main函数332

20.4调试版与发行版二进制文件339

20.5其他调用约定341

20.6小结342

第21章 模糊代码分析344

21.1反静态分析技巧344

21.1.1反汇编去同步344

21.1.2动态计算目标地址347

21.1.3导入的函数模糊353

21.1.4有针对性地攻击分析工具356

21.2反动态分析技巧357

21.2.1检测虚拟化357

21.2.2检测“检测工具”358

21.2.3检测调试器359

21.2.4防止调试360

21.3使用IDA对二进制文件进行“静态去模糊”361

21.3.1面向脚本的去模糊361

21.3.2面向模拟的去模糊366

21.4基于虚拟机的模糊375

21.5小结377

第22章 漏洞分析378

22.1使用IDA发现新的漏洞379

22.2使用IDA在事后发现漏洞384

22.3 IDA与破解程序开发过程388

22.3.1栈帧细目389

22.3.2定位指令序列392

22.3.3查找有用的虚拟地址394

22.4分析shellcode395

22.5小结397

第23章 实用IDA插件398

23.1 Hex-Rays398

23.2 IDAPython401

23.3 collabREate402

23.4 ida-x86emu404

23.5 Class Informer404

23.6 MyNav406

23.7 IdaPdf407

23.8小结408

第六部分 IDA调试器410

第24章 IDA调试器410

24.1启动调试器410

24.2调试器的基本显示414

24.3进程控制416

24.3.1断点417

24.3.2跟踪420

24.3.3栈跟踪422

24.3.4监视423

24.4调试器任务自动化423

24.4.1为调试器操作编写脚本424

24.4.2使用IDA插件实现调试器操作自动化428

24.5小结430

第25章 反汇编器/调试器集成431

25.1背景知识431

25.2 IDA数据库与IDA调试器432

25.3调试模糊代码434

25.3.1启动进程435

25.3.2简单的解密和解压循环436

25.3.3导入表重建439

25.3.4隐藏调试器443

25.4 IDAStealth448

25.5处理异常449

25.6小结454

第26章 其他调试功能455

26.1使用IDA进行远程调试455

26.1.1使用Hex-Rays调试服务器455

26.1.2连接到远程进程458

26.1.3远程调试期间的异常处理458

26.1.4在远程调试过程中使用脚本和插件458

26.2使用Bochs进行调试459

26.2.1 Bochs IDB模式459

26.2.2 Bochs PE模式460

26.2.3 Bochs磁盘映像模式461

26.3 Appcall461

26.4小结463

附录A 使用IDA免费版本5.0464

附录B IDC/SDK交叉引用466