实验五：IDA Pro恶意代码静态分析（Lab05-01）

一、实验目的

1. 掌握DLL文件入口点分析技术：学习使用IDA Pro加载动态链接库（DLL）文件，准确识别其入口点函数并获取具体内存地址。
2. 熟悉导入表窗口的功能：学会通过导入表（Imports）窗口查看目标程序依赖的外部API函数，理解不同系统库函数的作用。
3. 掌握交叉引用分析方法：能够利用交叉引用（Xrefs）功能查看函数或数据的引用情况，统计函数被调用的次数及位置。
4. 熟练使用地址跳转快捷键：掌握Ctrl+G快捷键的使用方法，实现代码视图间的快速地址定位与跳转。

二、实验内容

1. 分析DLL入口点地址：使用IDA Pro加载Lab05-01.dll文件，定位至程序的入口点（通常是DllMain或start），记录并显示该入口点的具体虚拟内存地址。
2. 查看导入表窗口：打开IDA的Imports子窗口，浏览并列出该DLL所引用的所有外部函数及其所属的动态链接库（如kernel32.dll）。
3. 函数交叉引用分析：在导入表或函数列表中选择一个特定函数，查看其交叉引用列表，统计并记录该函数在代码中被多少处调用了。
4. 利用Ctrl+G进行地址跳转：在反汇编视图窗口中使用Ctrl+G命令，输入特定的十六进制地址，验证是否能够准确跳转到对应的代码行。

三、实验步骤

步骤1：加载样本并定位入口点 启动IDA Pro，点击“File” -> “Open”，选择“Lab05-01.dll”文件并打开。在弹出的加载提示框中点击“OK”，等待IDA自动分析完成。分析完成后，IDA通常会自动跳转到文件的入口点。若未自动跳转，可按“G”键输入“start”或查看“Functions”窗口（快捷键Shift+F3）寻找DllMain函数。在代码窗口顶端，IDA会以注释形式标出“Entry Point”，记录下显示的地址（例如：100010D0），此即为该DLL的入口点地址。

步骤2：打开并分析导入表窗口 在IDA主界面菜单栏中，选择“View” -> “Open subviews” -> “Imports”，或者直接使用快捷键Shift+E打开导入表窗口。窗口中会列出两列内容，左侧为DLL名称（如KERNEL32.dll），右侧为具体的API函数名称（如GetModuleHandleW、ExitProcess等）。浏览列表，观察该程序调用了哪些系统库，并重点关注与调试、文件操作相关的敏感API。

步骤3：使用交叉引用功能查看调用次数 在导入表窗口中，选中一个感兴趣的函数（例如IsDebuggerPresent），单击鼠标右键选择“Jump to xref”或直接按下“X”键。此时会弹出一个“Jump to cross reference”窗口，列出了该函数在代码中被引用的位置。观察列表中的条目数量，统计该函数被调用的次数。例如，若列表中显示两条记录，说明该函数在程序的两个不同位置被调用，双击条目可跳转至具体的调用指令处进行查看。

步骤4：利用Ctrl+G进行地址跳转验证 返回IDA的主反汇编窗口（IDA View-A），按下快捷键Ctrl+G。在弹出的“Jump to address”对话框中，输入一个已知的地址（例如步骤1中记录的入口点地址，或者代码中看到的任意一个指令地址如10001050）。点击“OK”确认，观察代码视图是否瞬间刷新并定位到该地址所在的汇编代码行。通过此操作验证快速定位功能的有效性，这对于分析大型程序尤为重要。

四、实验分析

实验结果 通过实验操作，成功利用IDA Pro加载了Lab05-01.dll文件，并在函数窗口顶部确认了入口点地址为0x100010D0。在导入表窗口中，观察到该DLL引用了KERNEL32.dll和USER32.dll等多个系统库。针对IsDebuggerPresent函数使用交叉引用分析，发现其被1处代码调用。最后，通过Ctrl+G输入目标地址，光标准确跳转至指定的汇编指令处，所有功能验证均达到预期效果。

个人收获 本次实验深入理解了DLL文件的结构特征与静态分析技巧。我认识到导入表是分析程序行为的关键“窗口”，能够揭示程序潜在的外部依赖。交叉引用功能（Xrefs）的掌握让我学会了如何顺藤摸瓜，从API调用逆向追踪至具体功能逻辑。而熟练使用Ctrl+G跳转指令，极大地提升了在庞杂代码中的导航效率，为后续深入分析复杂的恶意代码打下了坚实基础。