Question

你将大量用到 IDA 桌面，应该花时间熟悉一下它的各种组件。IDA 的默认桌面如图 4-9 所示。我们将在下一节讨论桌面在分析文件时的各种行为。

我们将介绍以下区域。

1. 工具栏区域 （➊）包含与 IDA 的常用操作对应的工具。你可以使用 View▶Toolbars 命令显示或隐藏工具栏。你可以使用鼠标拖放工具栏，根据需要重新设定它们的位置。带有单独一排工具按钮的 IDA 的基本模式工具栏如图 4-9 所示。用户可以使用 View▶Toolbars▶Advanced mode 打开高级模式工具栏。高级模式工具栏包含整整三排工具按钮。

   

   图 4-9　IDA 桌面

2. 彩色的水平带是 IDA 的 概况导航栏 （➋），也叫做 导航带 。导航带是被加载文件地址空间的线性视图。默认情况下，它会呈现二进制文件的整个地址范围。你可以右击导航带内任何位置，并选择一个可用的缩放选项，放大或缩小显示的地址范围。不同的颜色表示不同类型的文件内容，如数据或代码。同时，在导航带上，会有一个细小的 当前位置指示符 （默认为黄色）指向与当前反汇编窗口中显示的地址范围对应的导航带地址。将光标悬停在导航带的任何位置，IDA 会显示一个工具提示，指出其在二进制文件中的对应位置。单击导航带，反汇编视图将跳转到二进制文件中你选定的位置。用户可以通过 Options▶Colors 命令自定义导航带所使用的颜色。拖动导航带，使其离开 IDA 桌面，你将得到一个分离的概况导航栏，如图 4-10 所示。在图 4-10 中，你可以看到当前位置指示符（➊左边的半长向下箭头）和按功能组标识文件内容的 颜色键 。

   

   图 4-10　概况导航栏

3. 回到图 4-9，IDA 为当前打开的每一个数据显示窗口都提供了标签（➌）。数据显示窗口中包含从二进制文件中提取的信息，它们代表数据库的各种视图。绝大多数分析工作需要通过数据显示窗口完成。图 4-9 显示了 3 个数据显示窗口：IDA-View、Functions 和 Graph Overview。通过 View▶Open Subviews 菜单可打开其他数据显示窗口，还可恢复任何意外关闭或有意关闭的窗口。

4. 反汇编视图 （➍）是主要数据显示视图，它有两种不同的形式：图形视图（默认）和列表视图。在图形视图中，IDA 显示的是某个函数在某一时间的流程图。结合使用图形概况，你就可以通过该函数结构的视觉分解图来了解函数的运行情况。打开 IDA-View 窗口后，可以使用空格键在图形视图样式和列表视图样式之间切换。如果希望将列表视图作为 默认视图 ，则必须通过 Options▶General 菜单打开 IDA Options 复选框，取消选择 Graph 选项卡下的 Use graph view by default （默认使用图形视图）复选框，如图 4-11 所示。

   

   图 4-11　IDA 图形选项

5. 使用图形视图时，显示区很少能够一次显示某个函数的完整图形。这时，图形概况视图（➎，仅在使用图形视图时显示）可提供基本图形结构的缩小快照，其中的虚线矩形表示其在图形视图中的当前显示位置。在图形概况窗口内单击鼠标，可重新定位图形视图的显示位置。

6. 输出窗口 （➏）显示的是 IDA 输出的信息。在这里，用户可以找到与文件分析进度有关的状态消息，以及由用户操作导致的错误消息。输出窗口基本上等同于一个控制台输出设备。

7. 函数窗口 （➐）是默认 IDA 显示窗口的最后一部分，我们将在第 5 章详细讨论这些窗口。