由於IDA可以檢視很多不同的資料視窗,透過介紹一些常用的視窗檢視,可以讓初學者比較好入門。
1. Hex dump:顯示16進制和ASCII的資料型態,通常查看.data時會透過這個視窗檢視。
2. Imports:顯示程式碼載入的所有API (Application Programming Interface)位址表(IAT),在分析程式時,使用這個使窗可以很快速地了解程式碼的運作。
3. Functions:顯示程式碼的函示(自定和標準的函式庫)。
4. Strings:顯示程式碼使用的字串(僅限ASCII)。
5. Segments:顯示程式記憶體配置區塊(.text .data .bss .idata等等)。
Hex dump:
1. 存放資料的位址。
2. 16進制顯示的資料。
3. ASCII顯示的資料。
4. 使用快捷鍵G,然後Jump address的欄位裡填入要檢視位址的資料。
Imports:
1. API資訊所在的位址。
2. API的名稱。
3. API所在的DLL (Dynamic-link library)。
4. 在VirtualProtect的API按左鍵,然後再按Enter,就可以看到API的輸出和傳入值的資訊。
Functions:
1. 函式的名稱。
2. 函式所在的記憶體配置。
3. 函式的起始位址。
4. 函式的程式碼大小。
Strings:
1. 字串所在的位址。
2. 字串的長度。
3. 字串的型態是常數(constant),不可修改。
4. 程式碼使用的字串(預設只會顯示ASCII)。
Segments:
1. 記憶體配置區塊名稱。
2. 起始位址。
3. 結束位址。
4. 存取屬性(決定是否可以讀寫或執行等等)。