ida

IDA 搜索中文字符串 IDA 的字符串窗口默认只能显示英文，网上的一些方法是指定启动时的参数可以显示中文 ida64 -DCULTURE=all ida -DCULTURE=all 还有就是修改 cfg/ida.cfg 文件，但是这两种方法都没试成功。实际上没有那么麻烦，IDA 7.0 操作很方便，在字符串列表窗口右键点击 Setup，如下图所示。 对话框勾上 Unicode C-style (16 bits)，点击 OK，如下图所示。另外需要注意的是图中最后面的 Minimal string lenght 这个是设置最小的字符串长度的，比如设置为 5，那么长度小于 5 的字符串就显示不出来，这个可以根据不同的情况配置。如果配置的太小了，就会出现很多无意义的数据，可能并不是字符串. 设置好之后就可以显示中文字符了，搜索中文也没问题，如图所示。点击相应的字符串，可以定位到字符串在代码中的引用位置。 最后附上 IDA Pro 7.0 下载地址，Windows 和 macOS 版本，包含全部 F5 插件。 https://www.ioshacker.net/thread-116-1-1.html 来源：51CTO 作者： xcmer2005 链接：https://blog.51cto.com/6095891/2437909

下载附件，在Linux中查看。 32位的MISP平台文件，第一次遇到。 将文件在IDA32中打开。 IDA也提示为MIPS平台的文件。 找到主函数，查看代码。 皆为MIPS平台指令，有点蒙。 接下来可以在网上恶补MIPS指令，也可以安装IDA插件。 这里我选择安装插件。 插件官网：https://retdec.com/ 插件和本体。 github下载，并解压到IDA插件目录（X:\IDA_Pro_v7.0\plugins）里。 接下来安装retdec本体。 下载压缩包解压。 安装python 3.4版本以上。 安装所需的运行环境：Visual C++ Redistributable for Visual Studio 2015: https://www.microsoft.com/en-us/download/details.aspx?id=48145 在IDA中使用插件，并指定Retdec本体中的py文件。 接下来就可以在IDA反汇编MIPS指令了 一个简单的异或。 编写脚本： a = "cbtcqLUBChERV[[Nh@_X^D]X_YPV[CJ" b = 0x37 c = '' for i in a: print(chr(ord(i)^b),end='') 输出：TUCTF{but_really_whoisjohngalt} 解题完毕！

根据jimdb的feninit移植，写得不好大神匆喷 安装方法：在IDA的plugins目录下解压AndroidAttacher.zip 修改AndroidAttacher.py设置ADB_PATH 或者 把adb目录放在系统PATH环境变量中 手机插上usb，adb devices能识别出来 快捷键Alt+F8 测试结果：Windows：6.6、6.8：通过 Mac OS X：6.6、6.8：通过 以上测试结果均在真机android 4.4.4进行，手机须root 源码： https://github.com/zhkl0228/AndroidAttacher 源码支持ida 7.0 转载请标明出处: IDA插件，一键附加调试android so 文章来源: https://blog.csdn.net/weixin_45120946/article/details/92640862

IDA Pro常用基础操作 1、查看字符串 2、跳转到代码中 3、跳转到地址 跳转到_text_410CC9位置 4、堆栈窗口 IDA-ESP窗口现在列出了我们感兴趣的函数的堆栈结构 通过调试器窗口指向堆栈窗口,点击"箭头" 5、把汇编转换成源代码 强大的F5 6、监视 我们可以添加监视，通过监视观察在程序执行过程中数据的变化。 7、转到入口点 8、Text view 9、Graph view 10、查看string 文章来源: https://blog.csdn.net/dyxcome/article/details/91345070

1、空格 图形模式 代码模式 文章来源: https://blog.csdn.net/dyxcome/article/details/91345144

版权声明：转载请注明作者和出处。 https://blog.csdn.net/LQMIKU/article/details/89841877 IDA Pro7.0（Mac版）安装findcrypt 安装findcrypt 遇到的问题 解决方法 总结 阅读之前注意： 本文阅读建议用时：25min 本文阅读结构如下表： 项目 下属项目 测试用例数量 安装findcrypt 无 0 遇到的问题 无 1 解决方法 无 1 总结 无 0 安装findcrypt 首先命令行运行这个：pip install yara-python 然后参考这个网址： https://github.com/polymorf/findcrypt-yara 下载下来后，复制其中的.py文件和.rules文件到/Applications/IDA Pro 7.0/ida.app/Contents/MacOS/plugins这个路径下。 效果如下图所示： 遇到的问题 这样，直接启动IDA，会提示说找不到yara模块。问题在于IDA的python的模块搜索路径没有包含我们安装yara-python的那个路径 解决方法 从问题来看，我们应该把安装yara-python的那个路径添加进IDA的python的模块搜索路径。但我没能成功。 我用的另一种方法：直接把安装路径下的yara

链接：https://pan.baidu.com/s/1Rs2UOSfroBGf_MIkJv0cGw 提取码：kjqd 官网： https://www.hex-rays.com/updida.shtml

I'm trying to learn about reverse engineering, using Minesweeper as a sample application. I've found this MSDN article on a simple WinDbg command that reveals all the mines but it is old, is not explained in any detail and really isn't what I'm looking for. I have IDA Pro disassembler and the WinDbg debugger and I've loaded winmine.exe into both of them. Can someone provide some practical tips for either of these programs in terms of finding the location of the data structure that represents the mine field? In WinDbg I can set breakpoints, but it is difficult for me to imagine at what point to

I came accross a problem with debugging a 64 bit binary in Windows using IDA. Normally, after a push RSP value should be deducted by 8. But occasionally, from IDA I saw that RSP was only deducted by 2, and then 8 for the next Push. The codes involved are push rax push rbx push rsi push rdi I'm quite new to x64 environment, thus could anyone explain this behavior ? You're probably getting mixed up by hexadecimal. Counting by 8 goes 0 8 10 18 20 28 30 Are you looking at that and thinking 10 - 8 == 2 ? Because it's 0x10 - 0x8 == 0x8 . 来源： https://stackoverflow.com/questions/35958737/intel-64-bits