Question

现在，我们将开始讨论 IDA 的高级功能。同时，我们将探讨在“最初的自动分析已经完成”¹ 之后，该执行什么操作。本章将讨论各种技巧，以识别标准的代码序列，如静态链接二进制文件中的库代码，或者编译器插入的标准初始化代码和辅助函数。

^{1. 在自动处理新加载的二进制文件之后，IDA 会在输出窗口中生成这条消息。}

在着手对二进制文件进行逆向工程时，你最不应该做的事情是，浪费时间逆向工程那些你只需阅读一本手册、一段源代码或搜索一下因特网就可以更轻易地了解其行为的库函数。静态链接二进制文件造成的问题在于，应用程序代码与库代码之间的区别很模糊。在静态链接二进制文件中，所有库与应用程序代码混杂在一起，组成了一个庞大的可执行文件。不过，有许多工具可以帮助我们在 IDA 中识别和标记库代码，使我们可以把注意力放在应用程序自身的代码上。