IDA 调试，便捷操作

快捷键

使用IDA Pro定位关键代码的方法：
参考：https://blog.csdn.net/u010725842/article/details/50723116/
1、搜索特征字符串。具体操作为：

 ①快捷键Ctrl+S，打开搜索类型选择对话框-->双击Strings，跳到字符串段-->菜单项“Search-->Text”；
 ②快捷键Alt+T，打开文本搜索对话框，在String文本框中输入要搜索的字符串点击OK即可；

2.tab查看函数。
3.ctrl+1, spance
4.G
5.alt+Q
6.alt+s
7.G-转到一个Jump Address
8.P ---------- Create function
9.D ---------- Data
10.alt+G, 寄存器arm与thumb转换

X --- 追踪某函数
F5 -- 刷新
C ---------------转成代码-----N-重命名函数，多看汇编，少看伪代码
H ------------16进制转换
A ---------- 生成一个字符串
U --------转成原数据

• --------------重新定义数组长度
  B -------------- 将十六进制转成二进制显示

以上快捷键详细说明：

image.png
调试某so的时候，遇到如上图这样的问题：根据地址计算，在0x9E9F3910处，和静态对应的位置0x0003D910一样，应该有sub方法的，但是ida并没有显示。应该是做了反调试处理，使so不显示具体代码。那么可以这样处理：
image.png
选中0x9E9F3910 ~ 0x9E9F392A ，也就是 对应的静态sub方法的地址：0x0003D910 ~ 0x0003D92A，
按 C（C ---------------转成代码-----N-重命名函数，多看汇编，少看伪代码）
image.png
点击 Analyze，就解析成代码了。
image.png

此时，还不能断点，按 PP ---------- Create function

image.png
就可以愉快调试啦。

还原就是：
按 UU --------转成原数据

image.png

B -------------- 将十六进制转成二进制显示

image.png

B 之后

image.png

打开窗口快捷键

不小心把需要的窗口关闭了，怎么打开呢，快捷键列出：
Output window --- alt + 0