IDA Pro f5没反应通常是什么原因 IDA Pro f5没反应时该先检查哪些组件

IDA Pro里F5没有反应，通常是什么原因，还有F5没有反应的时候，应该先检查哪些组件，先要弄清楚，F5对应的是Hex-Rays的反编译功能，并不是普通的反汇编跳转。在Hex-Rays的官方说明里面，生成伪代码可以通过View→Open subviews→Generate pseudocode，也可以直接按下F5；要是当前的环境没有办法进行反编译，F5就很有可能没有明显的反应，或者只是弹出一条很短的错误提示。

一、IDA Pro f5没反应通常是什么原因

F5没有反应，并不一定就是IDA本身坏了，更多的时候，是反编译器、当前的函数、文件的架构，还有快捷键的状态这几样东西没有对上。排查的时候，不要一上来就去重装软件，先看一看当前光标所在的位置，还有反编译的组件是不是正常的。

1、当前的位置不在可以反编译的函数里面

如果光标停在了数据区、字符串区、还没有被识别出来的代码段、跳转表，或者导入表这一类区域的附近，F5就可能没有办法生成伪代码。反编译器通常需要一个已经被识别出来的函数，来作为输入。碰到这种情况，可以先回到函数的开头，或者按P试着去创建函数，然后再按F5。要是IDA还没有把自动分析跑完，函数的边界就有可能不准确，伪代码也就容易生成失败。

2、反编译器没有加载，或者不支持当前的架构

IDA的反汇编和Hex-Rays的反编译，并不是完全等同的一件事情。IDA能够把文件打开，并不代表当前这个处理器的架构，就一定能被反编译。Hex-Rays官方页面介绍过，IDA decompiler的作用是把机器代码转换成接近C语言的伪代码，但是实际能不能生成，还要看对应的架构和授权组件是不是可用。比如x86的文件可以正常使用F5，并不代表ARM、MIPS、PowerPC，或者某些特殊的架构也一定能被反编译。这里要先看一看，当前数据库所识别出来的processor type是不是正确的。

3、快捷键被改动过，或者焦点不在反汇编窗口

有些用户以为F5没有反应，其实是快捷键被修改过了，或者当前的焦点停在了别的窗口里面。IDA官方的快捷键文档里说明过，快捷键可以通过Options→Shortcuts去自定义。要是F5被其他的插件，或者用户自己的配置给占用了，那它就不会再按照原来的预想，去生成伪代码了。

4、函数太乱，或者被混淆保护过

加壳、混淆、控制流扁平化、异常的跳转、花指令，这些东西都有可能让反编译器很难把结构化的代码恢复出来。Hex-Rays的文档在讲解packed executable的时候也提到过，某些混淆或者加壳的代码，会让默认的加载和入口分析变得不合适。在这种情况之下，F5有可能会报错、卡住，或者生成出来的伪代码质量很差。

二、IDA Pro f5没反应时该先检查哪些组件

排查F5的问题，可以按照“授权组件—文件架构—函数识别—快捷键—数据库状态”这样的顺序来看。这样做，会比反反复复地去乱点，要来得更快一些。

1、先检查Decompiler组件

打开【Help】、【About】，或者是插件相关的信息，去确认Hex-Rays Decompiler是不是存在的，并且和当前IDA的版本、文件的架构是匹配的。

要是菜单里面找不到Generate pseudocode，或者按下F5完全找不到反编译的入口，那就要优先怀疑，反编译的组件没有安装、没有得到授权，或者版本不匹配。不要把这种情况，错误地判断成是样本本身的问题。

2、检查处理器架构是不是被正确识别了

对照【Processor type】和文件本身的位数，去确认IDA没有把文件识别错。

比如32位的程序、64位的程序、ARM固件、驱动文件、壳代码的入口，它们各自被识别的方式都是不一样的。处理器类型要是弄错了，反汇编本身就不准确，F5自然也就很难正常工作。IDA官方也列出过它所支持的处理器的范围，但是具体能不能反编译，还要去看对应decompiler的支持情况。

3、检查函数的边界和自动分析的状态

如果当前的代码还没有形成函数，或者函数的范围明显是错乱的，那就可以先等自动分析结束，然后再去手动调整函数的边界。比较常见的现象，是函数被切得太短了，或者好几个逻辑块，被错误地合成了一个大函数。这个时候，F5就算是能够生成，出来的结果也可能是异常的。可以先去看一看Functions窗口，确认目标函数是不是存在的，然后再进到函数的开头，去尝试反编译。

三、F5问题处理时容易忽略什么

F5没有反应，有的时候并不是一个孤立的问题，而是前面的加载、分析、符号和插件的配置，这几样东西共同造成的。只盯着F5本身，很容易把真正的原因给漏掉。

1、旧版本可能存在显示或者刷新方面的问题

要是已经把伪代码的窗口打开了，但是按下F5以后没有刷新，那就可以试着把pseudocode view关掉，再重新生成一次，或者把版本升到比较新的一个。Hex-Rays 9.0的发布说明里面，曾经提到过修复了“按F5在某些情况下不会刷新伪代码窗口”这样的问题。

2、符号和类型的信息不够，也会影响效果

缺少类型、结构体、函数原型的时候，F5可能还是能够生成伪代码，但是可读性就会变得很差。可以先把导入函数的类型、结构体的字段、调用约定这一些信息补充上去，然后再去看伪代码，效果通常就会好很多。

3、插件的冲突也需要考虑进去

有一部分插件，会去改动快捷键、修改视图的行为，或者影响反编译器的输出。如果F5以前是正常的，在安装了某个插件以后才变得异常，那就可以先临时把插件禁用掉，再去检查是不是恢复了。

总结

IDA Pro里F5没有反应，通常是什么原因，以及F5没有反应的时候应该先检查哪些组件，重点是要先确认F5所对应的反编译功能，到底是不是可用的。排查的时候，先去看Hex-Rays Decompiler是不是已经安装并且得到了授权，再去看处理器的架构、当前的函数、自动分析的状态、快捷键的配置，还有插件的影响。要是碰到加壳或者混淆的程序，F5失败也并不奇怪，这就需要先去处理函数边界、入口逻辑和代码识别方面的问题。把这些基础的条件都排完之后，再来判断是不是软件版本，或者样本本身导致了问题，这样处理起来会稳当一些。