IDA ，ida pro專業操做手冊

IDA 是一個交互式反彙編程序，這意味着用戶積極參與反彙編過程。IDA 不是程序的自動分析器。IDA 會給你關於可疑指令、未解決問題等的提示。通知 IDA 如何繼續是你的工做。
若是您是第一次使用 IDA，這裏有一些您會發現很是有用的命令：

• 轉換爲指令：熱鍵是「C」
• 轉換爲數據：熱鍵是「D」
  您所作的全部更改都會保存到磁盤。當你再次運行 IDA 時，全部關於被反彙編文件的信息都會從磁盤中讀取，以便你能夠繼續你的工做。
  其餘命令請參考菜單系統和幫助。
  當程序未被佔用執行您提示的操做時，IDA 能夠對其進行分析。您與 IDA 一塊兒反彙編程序，但您的請求具備優先權。
  背景分析的狀態顯示在屏幕的右上角。

您能夠禁用自動分析，但在這種狀況下，IDA 的某些功能會產生奇怪的結果（例如，若是您嘗試將數據轉換爲指令，IDA 不會跟蹤控制流的全部線程，數據只會在屏幕上轉換爲指令...）

可使用如下命令行之一啓動 IDA：
ida 輸入文件（啓動圖形界面）
idat 輸入文件（開始文本界面）
將「64」後綴添加到命令名稱以啓動 64 位版本的 IDA。例如：
ida64 輸入文件
將啓動 64 位圖形界面。
可識別如下命令行開關：

-a 禁用自動分析。(-a- 啓用它)
-自主模式。IDA 不會顯示對話框。
設計用於與 -S 開關一塊兒使用。
-b#### 加載地址，一個十六進制數，以段落爲單位
（一個段落爲 16 個字節）
-B 批處理模式。IDA 將自動生成 .IDB 和 .ASM 文件
-c 反彙編新文件（刪除舊數據庫）
-C####以格式名稱設置編譯器：abi
-d指令
必須首先處理的配置指令
通過。示例：-dVPAGESIZE=8192
-D指令
必須在第二個處理的配置指令
通過。
-f 禁用 FPP 指令（僅限 IBM PC）
-h 幫助屏幕
-i#### 程序入口點（十六進制）
-I# 將 IDA 設置爲即時調試器（0 表示禁用，1 表示啓用）
-L#### 日誌文件的名稱
-M 禁用鼠標（僅文本）
-O####選項傳遞給插件。
此開關在 IDA 家庭版中不可用。
-o#### 指定輸出數據庫（隱含 -c）
-p####處理器類型
-P+ 壓縮數據庫（建立壓縮的 idb）
-P 包數據庫（建立解壓縮的 idb）
-P- 不打包數據庫（不推薦，參見Abort命令）
-r### 當即運行內置調試器
此開關的格式解釋here
-R 加載 MS Windows exe 文件資源
-S### 打開數據庫時執行腳本文件。
腳本文件擴展名用於肯定哪一個擴展名
將運行腳本。
能夠在腳本名稱後傳遞命令行參數。
例如：-S"myscript.idc argument1 "argument 2" argument3"
傳遞的參數存儲在「ARGV」全局IDC變量中。
使用「ARGV.count」來肯定參數的數量。
第一個參數「ARGV[0]」包含腳本名稱。
此開關在 IDA 家庭版中不可用。
-T### 將輸入文件解釋爲指定的文件類型
文件類型被指定爲文件類型的前綴
在「加載文件」對話框中可見
要指定存檔成員，請將其放在冒號字符以後，
例如：-TZIP:classes.dex
您能夠指定任何嵌套路徑：
-T [: {: : }[: ]]
在這種狀況下，IDA 不顯示「加載文件」對話框
-t 建立一個空數據庫。
-W### 指定 MS Windows 目錄
-x 不建立分段
（與轉儲數據庫命令配對使用）
此開關僅影響 EXE 和 COM 格式文件。
-z 調試：
00000001 drefs
00000002 偏移量
00000004 調情
00000008 idp模塊
00000010 ldr 模塊
00000020 插件模塊
00000040 ids 文件
00000080 配置文件
00000100 檢查堆
00000200 檢查參數
00000400 剝皮機
00000800 隊列
00001000 回滾
00002000 已有數據或代碼
00004000型系統
00008000 顯示全部通知
00010000 調試器
00020000 dbg_appcall
00040000 源碼級調試器
00080000 可訪問性
00100000 網絡
00200000 全棧分析（單純形法）
00400000 處理調試信息（例如 pdb、dwarf）
00800000 流明
此屏幕（適用於文本版本）
此屏幕（適用於文本版本）
此屏幕（適用於文本版本）
此屏幕（適用於文本版本）
此屏幕（適用於文本版本）

對於批處理模式，必須使用如下命令行調用 IDA：
ida -B 輸入文件
這至關於：
ida -c -A -Sanalysis.idc 輸入文件
文本界面 (idat.exe/idat) 更適合批處理模式，由於它使用較少的系統資源。可是，請注意，常規插件不會以批處理方式自動加載，由於 analysis.idc 文件退出而且內核沒有機會加載它們。
有關詳細信息，請參閱 IDC 子目錄中的 analysis.idc 文件。

公司名稱：上海道寧信息科技有限公司
地　　址：上海浦東新區金橋路1399號(福建天安大廈)2105室
總　　機:：021-50318395，021-58995797，021-58996110