IDA作為一款支持多個平臺系統(tǒng)的反編譯軟件，被各界人員所廣泛使用，功能十分強(qiáng)大。那么IDA在幫助我們反編譯解析文件的過程中，究竟做了一些什么操作呢？

實際上，IDA本質(zhì)是一個數(shù)據(jù)庫應(yīng)用程序，在分析可執(zhí)行文件時，IDA會自動針對此文件創(chuàng)建和填充數(shù)據(jù)庫，之后我們對此文件執(zhí)行的一系列修改和操作，最終都只是對數(shù)據(jù)庫進(jìn)行修改。IDA強(qiáng)大的地方在于它提供了各種可用于分析和操作數(shù)據(jù)庫的工具。

一、創(chuàng)建IDA數(shù)據(jù)庫

當(dāng)我們打開IDA后，選擇“New”新建一個文件反編譯任務(wù)，隨后選擇需要反編譯的文件，此時IDA會彈出一個保存數(shù)據(jù)庫界面，提示我們設(shè)置此文件數(shù)據(jù)庫的保存路徑，保存類型為i64類型，具體如下圖1。

設(shè)置完成之后，一路點(diǎn)擊確定直到文件在IDA中分析完成并打開，此時我們在數(shù)據(jù)庫保存路徑下即可查看到下圖2紅框標(biāo)出的四個文件。

其中id0類型文件是一個二叉樹形式的數(shù)據(jù)庫；id1類型文件包含了描述每個程序字節(jié)的標(biāo)記；nam類型文件包含了與Names窗口顯示的給定程序位置有關(guān)的索引信息；til類型文件則存儲了與數(shù)據(jù)庫本地類型定義相關(guān)的信息。

一旦出現(xiàn)了上述四個文件，說明IDA關(guān)于該文件的數(shù)據(jù)庫創(chuàng)建成功。

二、保存IDA數(shù)據(jù)庫

創(chuàng)建數(shù)據(jù)庫成功后，我們可以在IDA中對反編譯文件進(jìn)行各種編輯操作，當(dāng)我們關(guān)閉文件時，會彈出下圖3所示的保存數(shù)據(jù)庫的界面，該界面提供了三個保存數(shù)據(jù)庫的選項，我們需要按需選擇。

第一個選項：Don not pack database（不打包數(shù)據(jù)庫），使用此選項，則數(shù)據(jù)庫的四個文件將不會被打包成一個IDB文件，建議不要使用此選項。

第二個選項：Pack database （Store）（不壓縮打包數(shù)據(jù)庫），使用此選項，會將上述的四個數(shù)據(jù)庫文件通過“不壓縮”的形式打包成一個文件，建議使用此選項。

第三個選項：Pack database （Deflate）（壓縮打包數(shù)據(jù)庫），使用此選項，會將上述的四個數(shù)據(jù)庫文件通過“壓縮”的形式打包成一個文件。

我們選擇第二個選項進(jìn)行數(shù)據(jù)庫保存，保存過后即會生成一個i64格式的數(shù)據(jù)庫文件，如圖4。通過雙擊該數(shù)據(jù)庫文件可快速在IDA中打開到上一次編輯時的狀態(tài)界面。

三、IDA數(shù)據(jù)庫的好處

IDA將某個可執(zhí)行文件解析后保存到數(shù)據(jù)庫中，從速度角度出發(fā)，我們再次打開此文件時，不需要再重復(fù)解析第二次，節(jié)省了計算機(jī)資源；從安全角度出發(fā)，當(dāng)我們在分析惡意軟件時，無需重復(fù)在分析人員之間傳遞惡意軟件本身，我們只需要傳遞惡意軟件的分析數(shù)據(jù)庫即可。

打開數(shù)據(jù)庫的方式也很方便，在Open菜單中，我們選擇打開的類型為i64類型，然后找到數(shù)據(jù)庫文件打開就可以了。

IDA通過數(shù)據(jù)庫的方式進(jìn)行文件反編譯編輯與保存，同時保障著我們的使用安全。了解這方面的相關(guān)知識，有利于我們對IDA的進(jìn)一步使用