下载 IDA Pro 最好是6.x的版本,自带F5键反编译。
第一步:
在IDA里载入你的程序(EXE或DLL)
第二步:
寻找函数,如果你知道函数里引用了某个函数或者字符串,就可以尝试直接搜索函数名或者字符串,在 IDA View 窗口里按(Alt+T)开始搜索,(Ctrl+T)继续往下搜索。
搜索到一个字符串或者函数之后,你可以按下 X 键,查找出所有引用了这个函数或者字符串的地方,这可以帮助你快速找到需要的函数。
找到一个函数之后,你可以按 F5 键查看反编译结果(C语言风格),根据代码来确定是否是你要寻找的函数。
第三步:
切换到 Hex View 窗口,此时显示的位置有可能不是当前函数的数据,你需要记住这个函数的地址,就是(sub_xxxxxxx)这个,然后在IDA左边的 Function name 窗口里找到这个函数名(可以使用Alt+T快速搜索),双击一下,Hex View 窗口就会自动跳到这个函数头部数据。
第四步:
选中并且复制这一行,就是函数的特征码(实际上特征码就是函数头部的几个字节数据)。
实际上最好复制整个函数的数据,但是一般来说前16个字节就已经够准了。
修改一下格式就可以使用了。
特别提示:
如果特征码里出现有 0x10 - 0x20 之间的字节,最好替换成 0x2A 否则有可能出现特征码搜不到,这个是经验之谈,原理我也不懂。
第一步:
在IDA里载入你的程序(EXE或DLL)
第二步:
寻找函数,如果你知道函数里引用了某个函数或者字符串,就可以尝试直接搜索函数名或者字符串,在 IDA View 窗口里按(Alt+T)开始搜索,(Ctrl+T)继续往下搜索。
搜索到一个字符串或者函数之后,你可以按下 X 键,查找出所有引用了这个函数或者字符串的地方,这可以帮助你快速找到需要的函数。
找到一个函数之后,你可以按 F5 键查看反编译结果(C语言风格),根据代码来确定是否是你要寻找的函数。
第三步:
切换到 Hex View 窗口,此时显示的位置有可能不是当前函数的数据,你需要记住这个函数的地址,就是(sub_xxxxxxx)这个,然后在IDA左边的 Function name 窗口里找到这个函数名(可以使用Alt+T快速搜索),双击一下,Hex View 窗口就会自动跳到这个函数头部数据。
第四步:
选中并且复制这一行,就是函数的特征码(实际上特征码就是函数头部的几个字节数据)。
实际上最好复制整个函数的数据,但是一般来说前16个字节就已经够准了。
修改一下格式就可以使用了。
特别提示:
如果特征码里出现有 0x10 - 0x20 之间的字节,最好替换成 0x2A 否则有可能出现特征码搜不到,这个是经验之谈,原理我也不懂。
