ida 如何辨别程序起始处

在IDA反汇编窗口中记下函数开始内存地址，结束内存地址，然后转到“Hex -View”窗口记下二进制文件偏移量，最后使用WinHex打开二进制文件，找打对应位置，可以复制出来十六进制数据。

ida可以在初始的时候选择加exe文件 ，也可以在打开后用鼠标拖动一个exe程序到ida。

使用ida可以反汇编exe程序，看到捃流程，可以自动识别多数系统函数等信息。对于反向工程帮助很大，尤其是使用F5那个插件功能可以看到c代码。非常有用。

---