转载请标明是引用于 http://blog.csdn.net/chenyujing1234
欢迎大家拍砖!
使用的IDA软件版本: IDA.pro.5.5 (参考下载地址: http://www.pc6.com/softview/SoftView_55231.html)
下载后得到IDA.pro.5.5dapro55.zip文件。
在Windows 下可以开发exe文件,exe是不可逆向的,通过IDA可以把应用程序逆向,并非不是完全逆向,因为EXE已经把代码优化了。
DEBUG比RELEASE能更好逆向。
IDA它支持多种文件的反汇编,如exe 、sys、dll等。
把IDA.pro.5.5dapro55.zip解压后得到
,双击它安装;
将IDA.pro.5.5dapro55.zip解压后得到的文件 
继续解压得到
,将它拷贝到IDS的安装目录下。
^-^ 此时运行IDA程序,可以看到程序界面了:
我们点击运行按钮,进入到主界面:
编译方法可参考我的文章:<<http://blog.csdn.net/chenyujing1234/article/details/7674104>>
之所以简单,是因为只有一个文件sys.c,文件中只有两个函数:
#include <ntddk.h>
VOID HelloDDKUnload (IN PDRIVER_OBJECT pDriverObject)
{
KdPrint(("Enter DriverUnload\n"));
KdPrint(("Leave DriverUnload\n"));
}
extern NTSTATUS DriverEntry (
IN PDRIVER_OBJECT pDriverObject,
IN PUNICODE_STRING pRegistryPath )
{
NTSTATUS status;
status=STATUS_SUCCESS;
KdPrint(("Enter DriverEntry\n"));
pDriverObject->DriverUnload = HelloDDKUnload;
KdPrint(("DriverEntry end\n"));
return status;
}
编译后得到我们的目标文件: sys.sys
把sys.sys拖到IDA程序里。这里要选择载入的文件类型:
第一个是:PE文件
第二个是:DOS 可执行文件
第三个是:二进制文件。(用于有时我们不知道它的文件类型,eg:ROM镜像文件)
这里我们按默认的。(一般程序会帮我们自动选择类型。)
全部按默认,点确定;接下来会提示是否加载PDB文件,点YES。
此时在输出窗口中显示:
此时我们的结果出来了.
我们可以看到在IDA View-A选项卡上会显示三种颜色。
蓝色: 表示是代码段;
棕色: 表示是数据段;
红色: 表示是内核;
.sys文件一般是从00010000开始的,而.exe一般是从00040000开始的,dll是从00070000开头的。
在查看的汇编代码中,如果可以标识符进步重命名,之后与它有关的所有名字都会改变。
接下来我们来查看函数DriverEntry
下图表示:把_HelloDDKUnload@4的代码放入eax+34h的内存中。这样当卸载时可以调用。
在数据段时若我们判断是字符串,那么可以选择以C风格来查看。
得到的结果如下:
若要还原为UNICODE风格,则选择 
这样我们文件夹中生成的四个文件会被删除:
id0:二叉树数据库
id1:文件包含描述每个程序字节的标记
nam:包含IDA NAME窗口的数据库
til:本地数据库有关信息
保存也有两种方式,一种是压缩,一种是不压缩。
注意:在使用IDA过程中要经常保存,因为IDA常会崩溃,这样会造成数据丢失。