IDA Pro使用教程适合零基础吗 IDA Pro使用教程里哪些窗口最常用

很多人刚接触二进制分析的时候，很容易被IDA Pro的界面弄得不知所措，它的窗口多、地址多，汇编语句也排得密密麻麻。IDA Pro的使用教程到底适不适合零基础呢，答案是可以用来入门，只是不要刚上来就指望能看明白太复杂的样本。官方的入门资料里，也把IDA View、Pseudocode、Hex Dump View、Local Types和Functions View这几个窗口列为了初学者平时用得比较多的。所以零基础阶段最好先学会怎样加载文件、定位函数、查看字符串和跟踪调用关系，然后再逐步去补汇编与数据结构的知识，这样进入状态会更顺畅一些。

一、IDA Pro使用教程适合零基础吗

把IDA Pro当作零基础入门的工具是可行的，但学习的顺序要刻意放慢一些。这款软件本身能够自动分析函数、字符串、导入的符号以及控制流，初学者并不需要从第一天起就手工去拆解每一条指令。

1、先弄明白文件加载的过程

打开EXE、DLL、ELF或是其他格式的二进制文件之后，应该让IDA Pro把自动分析先执行完；分析进行的过程中不要着急到处点击，等状态栏上的处理全部停下来，再转向函数列表和字符串列表去寻找线索。自动分析的结果虽然不是最终的结论，却可以帮助新手比较快地找到程序的入口。

2、先学会在图形视图和线性视图之间切换

IDA View是主要用来看反汇编的窗口，其中的图形视图会把当前函数拆成若干个基本块，线性视图则会顺着地址连续显示指令和数据，敲一下【Space】键便能够在两种模式之间来回切换。官方文档里还提到，IDA View另外有一种Proximity模式，可以用来查看函数、全局变量和程序其他部分之间的联系。

3、不要只盯着伪代码看

假如当前使用的版本已经安装了对应的反编译工具，可以按【F5】打开Pseudocode窗口，它能够把汇编转换成更接近C语言的伪代码，按【Tab】键还支持在伪代码与反汇编视图之间进行切换。伪代码读起来固然要轻松一些，但里面的变量名、数据类型和执行流程很可能仍然不够准确，遇到关键判断的时候，还是应当回到汇编窗口去核实。

二、IDA Pro使用教程里哪些窗口最常用

窗口不必一口气全都打开，零基础刚开始时，可以只保留六七个最常用的，这样界面会清爽得多，其他窗口完全可以等到后面碰到具体问题时再去调用。

1、IDA View

这是分析过程中停留时间比较长的一个窗口，图形模式很适合用来观察分支和循环结构，线性模式则便于连续查看地址、数据以及指令。遇到跳转关系复杂一些的函数，一般可以先在图形模式下理清整体流程，再切回线性模式去琢磨细节。

2、Functions窗口

Functions窗口会把程序里识别出的全部函数都给列出来，默认它会呆在界面的左侧，列表里面能看到函数的名字、所处的段、起始地址以及长度这些信息。新手不妨先从main、WinMain、导出的函数，还有那些体积偏大的函数开始看。

3、Strings窗口

Strings窗口能够集中显示程序当中的字符串，并且会给出地址、长度、类型和文本内容。查找提示文字、文件路径、网址、错误信息或者配置项的时候，这个窗口尤其有用；双击某一条字符串，再去查一查它被哪些位置引用，往往就可以比较快地找到相关的处理逻辑。

4、Imports窗口

Imports窗口会展示通过动态链接引入的符号，以及它们各自所属的库名称。只要看到跟文件操作、网络通信、注册表读写、加密处理或者内存管理有关的API，就可以顺着它的引用位置继续往下分析，由此判断程序大致做了哪些事。

5、Hex View和Names窗口

Hex View用来查看原始的字节数据，它跟IDA View之间默认可以同步跳转；Names窗口则会列出当前数据库里的各种名称，不单包含函数，也包括数据项、字符串和导入符号。在分析过程中给函数改过名字以后，还可以从Names窗口迅速把它找回来。

三、IDA Pro零基础学习时怎么安排窗口

窗口的摆放不需要弄得太复杂，一般建议把IDA View放在中间区域，Functions和Strings放在左侧，Imports和Names放在侧边栏，Hex View则拖到底部。按照官方文档的说明，这些子窗口都可以通过【View】→【Open subviews】重新打开，并且支持拖动、重新排列和停靠。

1、第一阶段先只看静态信息

这个阶段可以多练习打开样本、浏览函数、搜索字符串以及跳转交叉引用，不用急着上手调试，也不必一次性安装太多插件。

2、第二阶段再练习跟踪函数调用

先选定一个字符串或一个导入函数，顺着交叉引用回到它被调用的位置，再观察前后的分支走向。每天拆解几个小型函数，比起直接啃庞大的程序，会更加容易积累经验。

3、第三阶段才去补类型和结构体知识

等到基本的跳转关系熟悉了之后，就可以利用Local Types窗口来管理结构体、联合体和枚举了，按照官方文档的说法，Local Types正是在IDA数据库里集中管理自定义数据类型的一个入口。

总结

零基础学用IDA Pro并不需要一下子把所有窗口都认全。IDA Pro的使用教程适不适合零基础，关键要看学习的顺序安不安排得合理。在IDA Pro使用教程里面哪些窗口最常用，那么优先掌握好IDA View、Functions、Strings、Imports、Hex View和Names就足够了。先把找入口、看引用、切换视图这些基本功练熟，再一步一步地去理解汇编、伪代码和数据结构，入门的过程就会顺当很多。