逆向中静态分析工具——IDA初学者笔记之字符串分析

逆向中静态分析工具——IDA初学者笔记之字符串分析

程序中往往包含很多字符串资源，这些资源存在于PE文件的rdata段，使用IDA反编译后，可以查找到这些字符串，

逆向破解程序通常需要一个突破点，而这个突破点，往往就是一个Messagebox，因为这个Messagebox可以很直观的

让我们知道当前位置的代码负责哪些功能，而同时Messagebox可以提供一个字符串让我们来查找定位。

首先，打开IDA,主菜单View-Open subviews-strings:

这时出来一个strings窗口，如下图所示：

这时候窗口里显示的是程序中的字符串，但很遗憾，从图中可以看到大部分字符串只有一部分，难道IDA没法识别完整的字符串吗？

当然不是，双击图中的一项字符串，会自动调整到IDE View窗口，部分内容如下图所示：

助记符是IDA自动生成的，可以修改，右键单击该助记符，选择菜单rename即可。

同时注意到有一个菜单项：array，点击后：

不管中文该怎么翻译，元素数量、数组长度都行，对于我们选择的字符串来说，这里的作用就是控制字符串长度，且11与上面的

注释中aZGmI[11]相呼应，直接修改，对照前面图中IDA View的字符串数据，直接修改到00的位置，因为00是字符串结束的标志。

这时可以看到完整通顺的字符串句子出来了，这里再在aZGmI上单击鼠标左键选中，再打开右键菜单-rename，修改一个比较有意义的

助记符，也就是字符串名称：

关于那句默认注释，若要修改，目前知道2个方法，

1）跳转到代码段中的引用处，按F5，在C代码中右键单击该助记符名称，选择，Set Item Type，在新窗口直接修改即可，

2）直接点击在IDA View的那句默认注释，快捷键Y，即可。

若实在想注释，可以添加新的注释，用Insert快捷键，或者在主菜单edit-comments中开启，删除的时候没有指定的按钮，

而是需要再开启注释窗口，清空原来的内容，再确定保存即可：

。