前言
前两天忙着公司的事情,没有来更新博客,今天补上,以后有时间就会更新。昨天卓大师的猛料真的是够味~某某某 某某某 那啥~ 好了 闲言碎语不要讲,拉一拉咱们的神器IDA。
IDA简介
IDA(The Interactive Disassembler),逆向工程中最负盛名的神器之一。如果说class-dump能够帮助我们罗列出要分析的点,那么IDA就能进一步帮我们把这些点铺成面。它是一个支持Windows、Linux和Mac OS X的多平台反汇编器/调试器。
IDA的使用说明
有的朋友会问为什么不说下载安装了,因为没得说啊,这里附上下载地址。
打开IDA,然后把要分析的文件拖到灰色区域,就会出现一个配置页面
03560C65-A70D-43CE-AFDB-8CA12BC110AD.png
有一个地方需要注意,对于一些fat binary(指的是为了兼容不同架构的处理器,而把多种指令集糅合到一个binary)来说,会有多个Mach-O文件供我们选择。我们需要根据设备对应的ARM信息,来选择。如果设备的ARM没有出现在这些选项中,那么就选那个像下兼容的选项,即如果选项里有ARMv7S,就选它;否则选ARMv7。这里我选择了ARMv7,然后点击“OK”,这时会连续弹出好几个窗口,你就一直选择“Yes”和“OK”就好了。然后静静的等待~
然后我们就进入了下面的界面:
66604C44-5F99-4847-914A-5D28B3F9ACB9.png
进入到这个界面时,我们会看到上方的进度条不断滚动,下发的Output window也会打印出对文件的分析进度。当进度条的主色调变成蓝色,Output window中显示“The initial autoanalysis has been finished.”时,表示IDA的初始分析已经完成。
我们可以看到上方的左右两个大窗口:Functions window 和 Main window。下面分别介绍一下这两个窗口
1.Functions window
顾名思义,这个窗口是展示出来的所有分析出来的方法。双击一个方法,Main window 会显示出来它的方法体。在选中Function Window时,点击菜单栏上的“Search”,可以用来查找要找的内容。
Functions window中的OC方法和class-dump导出来的内容很像。除了OC方法外,IDA还将所有的subroutine罗列了出来,这是class-dump做不到的。class-dump导出的内容都是OC方法,可读性高;subroutine的名称虽然只是一个代号,没有明显含义,但是iOS的底层是用C和C++实现的,编译之后生成的大都是subroutine,class-dump没有办法分析,只能借助IDA、Hopper这样的工具。
2.Main window
相信没有使用过IDA的你们,和我一样,刚看到初始化分析完成后的Main window。它有两种显示模式,分别是Graph view和Text view,它们之间的切换可以通过空格键切换。Graph view把分析程序的逻辑用方块的形式表现出来,方便我们分析程序各个分支之间的关系。各个方块之间的执行顺序用带箭头的线表示,当执行出现的分支时,满足判断条件的分支的线为绿色,否则为红色;当执行没有分支时,线是蓝色的。
具体的使用方法这里就不来说了,因为我也是小白,让我先仔细的研究研究,大家一起加油!!!
参考资料:
书籍:iOS应用逆向工程(第2版)
网友评论