[IDA教程]03-从零开始用IDA做逆向-寄存器知识

IDA加载文件过程

在IDA中打开可执行文件时使用静态分析器分析该文件，也称为Loader。在这种装载程序模式下，该程序将不会执行而是交给IDA静态分析，并最终创建一个.idb文件，分析过程中存储信息（包括重命名）的数据库。变量，函数名，标题...都存在这个文件里。

而.idb文件将是分析过程间产生成的5个文件（.id0，.id1，.nam，.id2和.til）融合在一起：

IDA不具有“撤消”功能，分析过程中所做的任何更改都不会撤消，而是直接保存。但是这些更改仅是存储在idb文件里，不会直接影响到正在分析的原始二进制文件。

在加载程序模式下，没有“寄存器”窗口，“堆栈”等窗口以及加载程序使用的内存模块列表。在Debugger模式下执行和调试程序时，这些信息才会出现。

寄存器被称为内置在处理器中的小型存储区（易失性内存-仅在计算机仍处于活动状态时才保存数据）。CPU执行命令时，必须从内存中检索指令和对指令进行解码，然后执行与指令目的相对应的操作。

在32位架构中，使用的寄存器是EAX，ECX，EDX，EBX，ESP，EBP，ESI，EDI和EIP，而64位架构会多出几个寄存器。

EAX（寄存器寄存器-累加器）：最常用于算术，逻辑和数据传输指令、乘法和除法运算使用此寄存器。对于Windows API函数，函数的返回值通常将存储在EAX寄存器中。
EBX（基址寄存器）：EBX寄存器可以直接访问存储器数据，它也是一个通用寄存器。
ECX（计数寄存器）：ECX是一个共享寄存器，可以用作各种命令的计数器。它还可能包含内存中的数据未对齐。使用计数器的命令是顺序，循环和LOOP / LOOPD指令。
EDX（数据寄存器）：是一个通用寄存器，用于包含乘法结果或除法结果的一部分。它还可以直接访问内存中的数据地址。
EDI（目标索引）：EDI通常用于处理字符串或数组的工作。该寄存器将指向目标字符串。此外它也是一个通用寄存器。
ESI（源索引）：与EDI一样，ESI也经常用于处理字符串或数组的操作。该寄存器将指向源字符串。
EBP（基本指针）：EBP指向内存位置，除了被共享外，还用作访问函数堆栈中的参数和局部变量的帧指针。
ESP（堆栈指针）：该寄存器始终指向当前堆栈顶部。根据堆栈的工作原理，该寄存器将被定向到低位地址。

因此共有8个通用的32位寄存器，即EAX，EBX，ECX，EDX，ESP，EBP，ESI和EDI。另外这些寄存器可以细分为16位和8位寄存器，如下所示：