这一课基本以截图的形式来展现IDA的一些基本常识
直接看图即可
启动界面
不知道文件是什么类型,就选择binary载入(二进制文件加载)
如果选择二进制文件,就要手动完成很多加载的过程,手动完成PE装载器的很多工作
选择是16位文件还是32位的文件
文件载入IDA之后,IDA在文件所在目录生成的文件:
Id0:二叉树形式的数据库
Id1:包含描述每个程序字节的标记
nam:包含IDA NAME窗口的数据库
til:本地数据库有关信息
PDB:Program DataBase
- 不打包数据库
- 打包数据库(4个生成文件会变成一个.idb结尾的文件,4个文件会被删除)
- 以压缩形式打包数据库
- 收集垃圾(ida会在文件关闭的时候清除所有没用的内存页,相当于清除垃圾)
- 不保存数据库(什么都不会留下)
3.4组合:会生成一个比占空间较小的idb文件
一般以图中的形式,只选择第二个就可以了
idb文件是可以直接打开的,可以直接载入上次分析的地方
Ida会经常崩溃(信不信由你)
如果数据库被损坏,会弹出下面的窗口,告诉你哪个路径下的哪个文件被损坏,让你选择
IDA has found unpacked version of database C:\DriverTest\sys\XXXXX\XXXX.idb on disk .please choose
restore重新储存 continue继续 cancel取消
出现这种状况就选择restore恢复
点击restore之后又会出现下列对话框
Datafor file c:\xxxxx\xxxxx\xxx.id0 isn't closed,do you want IDA to repair it?
IDA奔溃的时候创建的4个文件还在源目录下,这时候IDA会根据这4个文件来进行修复(repair)
please note that repaired database may still have probleam.
修复数据库之后可能还会出现问题
the bast solution is to use packed database or a backup
最好的解决方法是用压缩数据库来还原
yes no cancel help
这四个按钮就选择,如果保存过压缩数据库就选yes