【逆向工具】IDA使用1-VS2015版本debug查找Main函数，加载符号文件

IDA 常见操作

1. 空格，切换反汇编视图
2. 选择CALL或是跳转 进入函数内部或是跳转处
3. 返回键 ESC

daq.exe 分析32位程序 ，生成的IDA数据库文件是 .idb

Idap64.exe 分析64位程序, 生成的IDA数据库文件是 .i64

查找程序main函数入口点

在exports选项卡下找到入口点

双击start_0 就进到了函数入口处。在没有导入签名库识别库函数前，显示的是sub_XXXX这样的地址。

使用IDA签名文件识别库函数

签名(view->open subviews->Signatures,右键->Apply new signature，可以用来指定加载IDA的库函数签名文件。这个是IDA的非常有用的一个功能。在逆向过程中，MFC、SDK、Delphi编写的程序都会用到大量的库函数，而IDA的库函数签名文件能够识别出大部分的库函数。我们分析用户函数时，根据这些库函数推测出用户函数的作用。不同语言编写的程序也需要选择使用相对应的签名文件。例如MFC则选择使用vc32mfc，控制台则选择使用vc32rtf等。

库函数名显示出来了

快捷键

除了使用图形化外，还可以通过记忆快捷键加快逆向速度。

使用快捷键，shift+F5打开签名窗口

使用快捷键Insert导入VC的签名库

动态调试验证分析

F2在调试处下断点，在平台选择的下拉列表选择【Local Win32 debugger】，点击旁边的 绿色三角启动按键。单步步入与单步步过跟OD的按键一样，都是F7、F8

修改main函数的名字

找到main函数后，使用快捷键 【n】 修改签名文件识别出来的___tmainCRTStartup函数改名成main。可以将main函数的默认参数显示出来，

【修改前与修改后对比】

修改之后出现的_cdecl为函数调用协议。

相关知识点：

  __stdcall、__cdecl和__fastcall是三种函数调用协议，函数调用协议会影响函数参数的入栈方式、栈内数据的清除方式、编译器函数名的修饰规则等。

调用协议常用场合

__stdcall：Windows API默认的函数调用协议。

__cdecl：C/C++默认的函数调用协议。

__fastcall：适用于对性能要求较高的场合。

函数参数入栈方式

__stdcall：函数参数由右向左入栈。

__cdecl：函数参数由右向左入栈。

__fastcall：从左开始不大于4字节的参数放入CPU的ECX和EDX寄存器，其余参数从右向左入栈。

栈内数据清除方式

__stdcall：函数调用结束后由被调用函数清除栈内数据。

__cdecl：函数调用结束后由函数调用者清除栈内数据。

__fastcall：函数调用结束后由被调用函数清除栈内数据。

函数调用方式例子：

●printf 是什么方式？

答：C方式，_cdecl，CALL完之后在函数外面平衡参数的堆栈

●MessageBoxW是什么方式？

答：_stdcall方式，CALL内部平衡堆栈

参考：

逆向分析点滴

http://blog.csdn.net/iiprogram/article/details/1665392