6

我是 Ida 的新手,我需要使用它来识别可执行文件中的哪些函数调用其中之一。我试图找到一种加密数据包的方法作为安全练习。假设我想查看导入窗口并查看这些,这是否意味着这些是可执行文件中引用的唯一函数?如何找到引用 sendto 的位置?我试图按名称搜索它,但搜索需要很长时间,而且似乎没有找到任何东西。

Address Ordinal Name Library
------- ------- ---- -------
0109150C 111 imp_WSAGetLastError WS2_32
01091524 101 __imp_WSAAsyncSelect WS2_32
0109157C freeaddrinfo WS2_32
01091578 getaddrinfo WS2_32
01091548 57 __imp_gethostname WS2_32
01091518 52 __imp_gethostbyname WS2_32
01091530 23 __imp_socket WS2_32
01091528 21 __imp_setsockopt WS2_32
01091554 20 发送到 WS2_32
0109154C 19 __imp_send WS2_32
01091574 18 __imp_select WS2_32
01091558 17 recvfrom WS2_32
01091550 16 __imp_recv WS2_32
01091508 15 __imp_ntohs WS2_32
01091514 14 ntohl WS2_32
01091540 13 __imp_listen WS2_32
0109151C 12 __imp_inet_ntoa WS2_32
01091520 11 __imp_inet_addr WS2_32
01091580 10 __imp_ioctlsocket WS2_32
01091568 115 __imp_WSAStartup WS2_32
01091538 9 __imp_htons WS2_32
01091534 3 __imp_closesocket WS2_32
0109152C WSAIoctl WS2_32
01091510 8 htonl WS2_32
01091570 151 __imp
_WSAFDIsSet WS2_32
0109155C 7 getsockopt WS2_32
0109153C 2 __imp_bind WS2_32
01091564 6 getsockname WS2_32
01091560 5 getpeername WS2_32
01091544 1 __imp_accept WS2_32
01091584 4 __imp_connect WS2_32
0109156C 116 __imp_WSACleanup WS2_32

4

1 回答 1

14

如果要查找导入函数的使用位置,我在 Import 视图中有这个MessageBoxA函数:

00406160  MessageBoxA USER32

双击它,它会带你进入 IDA 视图,你会看到如下内容:

.idata:00406160 ; int __stdcall MessageBoxA(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType)
.idata:00406160                 extrn __imp_MessageBoxA:dword ; DATA XREF: MessageBoxA^r

点击函数名称,MessageBoxA,它会变成黄色,然后点击X键盘或右键点击函数,然后选择Jump to xref to operand ...。您将转到使用该函数的位置,或者如果从多个位置调用它,您将看到对话框。

于 2013-10-14T18:56:36.600 回答