4.3 IDA 桌面简介

你将大量用到 IDA 桌面,应该花时间熟悉一下它的各种组件。IDA 的默认桌面如图 4-9 所示。我们将在下一节讨论桌面在分析文件时的各种行为。

我们将介绍以下区域。

  1. 工具栏区域(➊)包含与 IDA 的常用操作对应的工具。你可以使用 View▶Toolbars 命令显示或隐藏工具栏。你可以使用鼠标拖放工具栏,根据需要重新设定它们的位置。带有单独一排工具按钮的 IDA 的基本模式工具栏如图 4-9 所示。用户可以使用View▶Toolbars▶Advanced mode打开高级模式工具栏。高级模式工具栏包含整整三排工具按钮。

    图4-9 IDA 桌面

  2. 彩色的水平带是 IDA 的概况导航栏(➋),也叫做导航带。导航带是被加载文件地址空间的线性视图。默认情况下,它会呈现二进制文件的整个地址范围。你可以右击导航带内任何位置,并选择一个可用的缩放选项,放大或缩小显示的地址范围。不同的颜色表示不同类型的文件内容,如数据或代码。同时,在导航带上,会有一个细小的当前位置指示符(默认为黄色)指向与当前反汇编窗口中显示的地址范围对应的导航带地址。将光标悬停在导航带的任何位置,IDA 会显示一个工具提示,指出其在二进制文件中的对应位置。单击导航带,反汇编视图将跳转到二进制文件中你选定的位置。用户可以通过 Options▶Colors 命令自定义导航带所使用的颜色。拖动导航带,使其离开 IDA 桌面,你将得到一个分离的概况导航栏,如图 4-10 所示。在图 4-10 中,你可以看到当前位置指示符(➊左边的半长向下箭头)和按功能组标识文件内容的颜色键

    图4-10 概况导航栏

  3. 回到图 4-9,IDA 为当前打开的每一个数据显示窗口都提供了标签(➌)。数据显示窗口中包含从二进制文件中提取的信息,它们代表数据库的各种视图。绝大多数分析工作需要通过数据显示窗口完成。图 4-9 显示了 3 个数据显示窗口:IDA-View、Functions 和Graph Overview。通过View▶Open Subviews菜单可打开其他数据显示窗口,还可恢复任何意外关闭或有意关闭的窗口。

  4. 反汇编视图(➍)是主要数据显示视图,它有两种不同的形式:图形视图(默认)和列表视图。在图形视图中,IDA 显示的是某个函数在某一时间的流程图。结合使用图形概况,你就可以通过该函数结构的视觉分解图来了解函数的运行情况。打开 IDA-View 窗口后,可以使用空格键在图形视图样式和列表视图样式之间切换。如果希望将列表视图作为默认视图,则必须通过Options▶General菜单打开IDA Options 复选框,取消选择 Graph选项卡下的Use graph view by default (默认使用图形视图)复选框,如图 4-11 所示。

    图4-11 IDA 图形选项

  5. 使用图形视图时,显示区很少能够一次显示某个函数的完整图形。这时,图形概况视图(➎,仅在使用图形视图时显示)可提供基本图形结构的缩小快照,其中的虚线矩形表示其在图形视图中的当前显示位置。在图形概况窗口内单击鼠标,可重新定位图形视图的显示位置。

  6. 输出窗口(➏)显示的是 IDA 输出的信息。在这里,用户可以找到与文件分析进度有关的状态消息,以及由用户操作导致的错误消息。输出窗口基本上等同于一个控制台输出设备。

  7. 函数窗口(➐)是默认 IDA 显示窗口的最后一部分,我们将在第 5 章详细讨论这些窗口。

目录