아이다 사용방법 ( IDA )

2018. 4. 25. 21:26악성코드 분석




IDA는 유료버전과 무료버전으로 나뉘고, 5.0Free버전으로 실습을 진행한다

악성코드 고급정적분석 시 활용된다


먼저 실행화면부터 살펴보도록 하겠다

[1] 분석할 파일 로드


① PE, MS-DOS, Binary 파일들을 선택가능

② 32bit or 64bit 선택가능

③ Rebase시 메모리 로드 가상 주소 설정 가능


[2] 텍스트 모드와 그래프 모드 ( space bar : 모드 전환 )

두가지 모드로 실행파일의 코드를 확인할 수 있다

① 텍스트모드


② 그래프모드


그래프 모드

- 빨강 : 조건점프 거짓일 시

- 초록 : 조건점프 참일 시

- 파랑 : 무조건 점프시 


[3] 추가 옵션

코드별로 옆에 자동으로 주석이 달아져서 가독성이 좋다


[4] 다양한 윈도우

Function, Names, Strings, Imports, Exports, Structures Window 등 다양한 윈도우가 제공되어 분석에 유용하게 사용된다


[5] 링크

* call sub_01003695

sub_address : 함수의 시작 링크


* jnz short loc_010016BC

loc_address : 목적지(location)로 점프하는 링크


* push offset_aSocketGetlaste

offset_address : 메모리 내의 오프셋 링크


[6] 상호참조 ( Cross Reference )


① XREF로 표기한다

② 함수를 호출한 위치나 사용한 문자열 위치를 알려준다

③ 함수가 호출된 파라미터로 이동할 수 있다

XREF 우클릭 - Jump to cross reference -> 사용되어지는 주소 확인 -> 해당 주소로 이동 가능


[7] 지역변수와 파라미터 구분


* var_value : 지역변수 ( 음수 )

* 파라미터 ( 양수 )