IDA Pro(静态反编译工具) v7.5 绿色专业版

IDA Pro完整版是完全使用C++编写的静态反编译工具，能够呈现尽可能接近源代码的代码，并通过派生的变量和函数名称来尽其所能地注释生成的反汇编代码，此外IDA Pro还内置了类似于宏语言组成的完全开发环境，让用户能够更好执行简单到中等复杂的自动化任务。

IDA Pro可谓是最智能、功能最完善的交互式反汇编程序之一，能够很好用于反汇编和动态调试等方面，助用户轻松对多种处理器的不同类型的可执行模块进行反汇编处理，或是以高速和可扩展性的内核算法，是该软件为二进制分析领域的未来发展奠定坚实的基础。

IDA Pro完整版特色

1、可编程性

包含了一个由非常强大的类似于宏语言组成的完全开发环境，可用于执行简单到中等复杂的自动化任务。对于一些高级任务，我们的开放式插件架构对外部开发人员是没有限制的，这样可以完善软件的功能。比如，每个人可以用MP3播放器来扩展IDA Pro并且发现恶意软件。

2、交互性

目前，电脑在遇到未知事物时，是无法和人类大脑相比的。而我们这个软件主要就是拥有完全的互动性，与前者相比，甚至还可以让分析师重写决策或者提供相应的线索。交互性是内置程序语言和开放式插件架构的最终要求。

3、调试器

在现实生活中，事情并不是我们想象的那样简单，恶意代码通常总与分析不一致。病毒，蠕虫和木马往往是被其他东西修饰过而造成混淆，这就要求有一个更加强大的工具来识别出来。调试器补充了反汇编的静态分析功能：允许分析师通过代码一步一步来调查，调试器经常会绕过混淆，并得到一些能够对静态反汇编程序进行深入处理的数据，包括有助于得到的数据的功能更强大的静态反汇编器将能够在深度处理。远程调试器对人们想要对潜在的有害程序进行深入时起到了很大的作用。有些我们的调试器也可以运行在虚拟环境的应用上，这使得恶意软件分析更有成效。

4、反汇编

作为一个反汇编器，为可用在那些源代码不总是可用的二进制程序的探索开发，创建程序执行图。一个反汇编器最大的益处就在于它可以通过符号表示，也就是汇编语言来为在执行的处理器提供说明。如果一个你刚刚安装的友好的屏幕存储器在探视你的网上银行会话或者登陆你的邮箱，反汇编器就可以将它显示出来。然而，汇编语言是很难搞懂的，这也是为什么这种先进的技术被应用在这个软件上从而能确保代码的可读性，甚至在某些情况下和二进制文件产生的源代码非常相似。该程序图的代码可以为进一步的调查提供后期处理。有些人已经将它作为其根源用在病毒的基因分类上。

IDA Pro完整版功能

1、敌对代码分析

考虑到当今恶意代码的速度和复杂性，需要一种功能强大的分析解决方案。IDA Pro已成为恶意软件分析领域的标准，以至于有关新病毒的信息通常以“ IDA数据库”的形式交换。防病毒，恶意软件和间谍软件分析师每天都会使用IDA Pro来调查新的病毒样本威胁并提供及时的解决方案。

2、漏洞研究

漏洞披露的话题仍然颇具争议，但实际上，软件通常很容易受到外部攻击。IDA Pro是调查此类漏洞的理想工具。如果不固定它们，则第三方可能出于不诚实或犯罪意图利用它们。例如，威斯康星州安全分析器是一个非常有趣的项目，旨在研究软件漏洞，其中IDA Pro扮演着重要角色。

3、商用现货（COTS）验证

许多软件是在使用它们的国家以外开发的。由于这些程序难以验证，而且由于完整的源代码审核和重建并不总是可行或可行的，因此IDA之类的工具提供了一种方便的方法来检查程序是否确实按照其声明的方式运行，是否没有有害漏洞并且不泄漏任何敏感信息。

4、隐私保护

软件正在各个层面入侵我们的生活。在可能被收集，出售或利用的有关单个用户的数据量激增到前所未有的水平时，尊重基本隐私权是许多人的关注点。IDA Pro帮助调查可能引起关注的软件，从而保护您的基本权利。

5、其他用途

IDA Pro在学术界引起了很多兴趣。在这里可以看到IDA Pro发挥作用的部分论文清单。

常用快捷键

空格键：反汇编窗口切换文本跟图形

Esc：在反汇编窗口中使用为后退到上个操作的地址处

Shift +F5：打开签名窗口

shift+F12：自动分析出参考字符串

ALT+T：搜索字符串(文本搜索)

ALT+L：标记(Lable)

ALT+M：设置标签(mark)

ALT+G：转换局部变量为结构体

ALT+Enter：跳转到新的窗口

Alt+B：快捷键用于搜索十六进制字节序列，通常在分析过程中可以用来搜索opcode

CTRL+M：列举出当前已经添加的标签

CTRL+S列举出二进制程序的段的开始地址、结束地址、权限等信息

F9：动态调试程序(其实IDA主要用作静态分析用的)

F5：将一个函数逆向出来(生成c伪代码)

G：跳转到指定地址

A：将选择的信息转换成ASCII(转换成可读性跟强的字符串)

X(ctrl+X)：交叉引用,类似于OD中的栈回溯操作

N：对符号重命名

：&；(冒号&分号)：光标所在位置添加常规注释和可重复注释

P：创建函数

T：解析结构体偏移

M：转换为枚举类型常量

Y：设置变量类型

H：转换16进制

C：光标所在地址处的内容解析成代码

D：光标所在地址处的内容解析成数据

A：光标所在地址处的内容解析成ascll码字符串

U：光标所在地址处的内容解析成未定义内容。