About IDA Part 2.
#Debugging.
일단 local은 현재 컴퓨터, remote는 외부에서 디버깅할 때 사용.
Bochs => Like Vmware.
Cf) PE 파일이면 보통 현재 컴퓨터에서 디버깅하는 옵션인 Local Win32 debugger를 사용.
F2 => Breakpoint 설정.
F7 => Step into.
F8 => Step Over.
F5 => IDA view 창에서는 Hexray 기능.
Debugging Menu 중 Watches는 말 그대로 보는 기능.
Watch는 보고 싶은 값들을 한 곳으로 모으는 기능.
Data 영역에서 Watch 하기를 원하는 데이터를 오른쪽 마우스로 클릭해서 Watch 목록에 추가 O.
#Etc Functions.
=>Plugin. 참고 ==> http://www.openrce.org/downloads/browse/IDA_Plugins
다운받은 Plugin을 IDA 폴더에 가서 plugin 폴더에 넣은 후 IDA를 키고 edit-plugin에 가서 선택.
=>Array과 dup의 의미.
비슷한 값이 연속으로 나와 있으면 이를 이용해 배열을 만들 수 O.
배열이 나타난 곳에 보면 DB(즉 d,dd,dw) 중복된 수(Hex) dup(중복된 값) 으로 표시 O.
dup는 옵션으로 사용하면 배열을 만들 때 위에서 말한 기능 실행.
=>Hexrays Decompiler.
참고 => https://www.hex-rays.com/
=> https://www.hex-rays.com/products/decompiler/manual/
간단히 F5를 누르면 된다.
Tab Key를 누르면 어셈블리 코드에 해당하는 디컴파일된 코드로 이동.
디컴파일된 창에서 Copy to Assembly라는 것이 있는데 클릭하면 assembly 밑에 디컴파일된 코드 사용 O.
디컴파일은 함수 단위로만 사용 O.
=>New Instance.
Menu => File => New Instance로 IDA 하나 더 열 수 O.
=>Produce File.
IDA에서 분석을 하고 Ollydbg에서 debugging을 할 때 모든 정보를 담아 MAP FIle로
생성 후 Ollydbg Plugin godup.dll로 불러서 사용.
=>Manual Operand.
Menu => Operand Type => Manual에 들어가면 Operand를 수정할 수 O.
다시 되돌리려면 공백을 넣고 설정.
=>Manual Instruction.
명령어를 통째로 수신자가 원하는 표현으로 바꿀 수 O.
=>Comment.
Shift+;를 통해 일반 주석을 넣어 줄 수 O.
;만 누르면 반복 주석이 들어가고, 반복 주석은 함수의 시작점에 있는 것.
=>Output 창의 용도.
Output 창에는 각종 알림과 에러와 plugin의 결과가 나오는 창.
하단의 IDC 칸에는 IDA만의 명령어를 입력 할 수 O.
IDA의 에러는 output 창을 보면 좋다.
차후에 추가할 예정.....
'#Tool' 카테고리의 다른 글
| About DotPeek. (0) | 2018.05.17 |
|---|---|
| About Reflector. (0) | 2018.05.17 |
| About HxD. (0) | 2018.05.16 |
| About PEID. (0) | 2018.05.16 |
| About IDA. (0) | 2018.05.15 |
