アプリケーションのバージョンを識別する#
16 進数エディタ HxD を使用してアプリケーションのバージョンを表示します。
上記のアプリケーションは 32 ビットプログラムであることがわかります。PE の後に PE..L... が続いている場合、64 ビットプログラムの場合は PE の後に PE..d + が続きます。
IDE を使用してもアプリケーションのバージョンを確認できます。
このアプリケーションが 32 ビットプログラムであることがわかったので、32 ビットの IDA を使用して開きます。
開くと、IDA:Quick strat ウィンドウが表示されます。
「新規」をクリックし、対象のアプリケーションを検索して読み込みます。次のようなインターフェースが表示されます。
OK をクリックするだけで、ここでは何も設定する必要はありません。IDA はプログラムのアーキテクチャを自動的に識別します。
ビュー#
開いた後、表示されるウィンドウは、実行可能ファイルを読み込んだ後に最初に表示される逆アセンブリビューです。
スペースキーを押すと、グラフィカルと非グラフィカルの命令リストの間を切り替えることができます。
Options-General-Disassembly で、Line prefixes にチェックを入れると、グラフィカルビューでの命令のアドレスが表示されます。
最初の効果は次のようになります。
変更後
IDA にはさまざまなビューモードがあり、view-Open subviews メニューで確認できます。
関数の開始位置の識別#
関数の開始位置に同じアドレスを指す複数の参照がある場合、最後の重複を関数の開始位置として使用します。ここでは push 0 です。
設定の保存#
この設定を使用すると、現在のさまざまな設定を保存し、次回はこの設定を直接読み込むことができます。
文字の検索#
IDA のタブには、FUNCTIONS、STRINGS、NAMES などが含まれています。これらのオプションタブで「CTRL+F」を押して検索し、入力した文字に基づいてフィルタリングすることができます。VIEW-OPEN SUBVIEW-STRINGS メニューを開くと、「Lu」を含むすべての文字列を検索できます。
VIEW-OPEN SUBVIEW-DISASSEMBLY メニューを開くと、最初の逆アセンブリオプションタブとは異なる内容が表示される 2 番目の逆アセンブリオプションタブが開きます。
ここには 3 つの逆アセンブリ表示ビューがあります。
VIEW-OPENSUBVIEW- HEX DUMP メニューを開くと、16 進数ビューが表示されます。
右クリックしてテキストモードに切り替えることもできますし、スペースキーを押して切り替えることもできます。
テキストビューは次のようになります。
view-Open subviews-import を開くと、外部関数の参照を表示できます。
