ویرگول
ورودثبت نام
سید عمید قائم مقامی
سید عمید قائم مقامیبرنامه نویسی سیستم ویندوز و مهندسی معکوس و علاقه مند به آموزش.
سید عمید قائم مقامی
سید عمید قائم مقامی
خواندن ۲ دقیقه·۱ ماه پیش

مهندسی معکوس (view در IDA ):

لیست تمام پردازه هایی که IDA پشتیبانی میکند در زیر لیست شده هستن.

بخش Edit:

Export data در IDA

این گزینه برای خروجی گرفتن از داده‌های انتخاب‌شده داخل دیتابیس IDA و ذخیره آن‌ها در یک فایل خارجی استفاده میشه.

Code دستور:

تبدیل داده به کد (Instruction)
اگر IDA اشتباهی چیزی رو Data تشخیص داده، با این گزینه به Code تبدیلش می‌کنی.

Data داده:

تبدیل کد به داده
برعکس Code؛ زمانی استفاده میشه که دستور اسمبلی در واقع داده است.

دیدن استراکچر های موجود در برنامه:

View → Open subviews → Structures

دیدن استرینگ های موجود در برنامه:

View → Open subviews → Strings

با زدن کلید Space میتوان از گراف به پنجره دیس اسمبلی و برعکس رفت.

با باز کردن Proximity browser، یک گراف از تابع فعلی و توابع/متغیرهای مرتبط (Caller‌ها، Callee‌ها، متغیرهای سراسری و…) نمایش داده می‌شود تا روابط بین بخش‌های مختلف برنامه را بهتر ببینید.

این نما کمک می‌کند مسیرهای بین دو تابع یا بین یک تابع و یک متغیر را به صورت گرافیکی پیدا و دنبال کنید؛ مثلاً زنجیره‌ی فراخوانی‌ها بین دو تابع را می‌توان روی این گراف جست‌وجو و بررسی کرد.

گزینه‌ Generate pseudocode (کلید F5) است و برای تولید شبه‌کد C‑مانند از اسمبلیِ تابع فعلی استفاده می‌شود.

کار پنجره Exports

این پنجره تمام سمبل‌های export شده‌ی فایل (توابع یا متغیرهایی که ماژول به بیرون ارائه می‌کند، مثل DLL اکسپورت‌ها) را به صورت لیست نشان می‌دهد؛ ستون‌ها معمولاً شامل نام، آدرس در باینری و شماره ordinal هستند.

از همین لیست می‌توانید روی هر مورد دابل‌کلیک کنید تا مستقیماً به آدرس آن در disassembly بروید و تحلیل روی نقطه‌ی ورودها یا APIهایی که باینری به بیرون ارائه می‌دهد را راحت‌تر انجام دهید.

داخل Hex dump

این نما معمولاً سه ستون دارد:

  1. آدرس (Address)
    آدرس هر بایت در حافظه یا فایل اجرایی

  2. داده هگزادسیمال (Hex Bytes)
    بایت‌های واقعی برنامه (مثلاً: CC CC CC 55 8B EC)

  3. نمای ASCII
    اگر بایت‌ها قابل چاپ باشند، معادل متنی‌شان را نشان می‌دهد (وگرنه با .)

Hex dump چه زمانی کاربرد دارد؟

این بخش بیشتر در مهندسی معکوس حرفه‌ای استفاده می‌شود، مثلاً برای:

  • دیدن داده خام بدون تفسیر اسمبلی

  • بررسی NOP / INT3 (CC)

  • پیدا کردن Shellcode

  • بررسی Encrypted / Packed data

  • Patch کردن بایت‌ها (تغییر مستقیم باینری)

  • تحلیل Anti-Debug / Anti-VM

  • بررسی ساختار فایل (PE Header, Section ها)

Imports در IDA

لیست تمام توابع و کتابخانه‌هایی را نشان می‌دهد که این فایل اجرایی (EXE / DLL) از بیرون استفاده می‌کند؛ یعنی چیزهایی که خود برنامه پیاده‌سازی نکرده و از ویندوز یا DLLهای دیگر گرفته است.

Names در IDA

​این پنجره معمولاً شامل این موارد است.

  • نام توابع

  • متغیرهای سراسری

  • سیبولها Import / Export

  • لیبل‌ها و ساختارها

Segments در IDA

به شما اجازه می‌دهد تا پنجره‌ای باز کنید که بخش‌های مختلف حافظه و نحوه ذخیره‌سازی داده‌ها را نمایش می‌دهد. این ویژگی به تحلیل‌گران این امکان را می‌دهد که از بخش‌های مختلف برنامه (مثل کد یا داده) اطلاعات دقیقی بدست آورند.

Telegram: @CaKeegan
Gmail : amidgm2020@gmail.com

مهندسی معکوس
۱
۰
سید عمید قائم مقامی
سید عمید قائم مقامی
برنامه نویسی سیستم ویندوز و مهندسی معکوس و علاقه مند به آموزش.
شاید از این پست‌ها خوشتان بیاید