IDA常用命令

is_dword(get_full_flags(addr))判断地址处的对象是否为四个字节（指针）

is_strlit(get_full_flags(addr))判断地址处的对象是否为字符串

get_item_end(addr)得到地址对象的结束地址

Byte(addr):获取地址处的字节内容（字符），get_wide_byte(addr):地址字节内容(ASCII码)，chr(ASCII码):转化为字符

ScreenEA()、here()获取光标地址

GetCurrentLine()获取当前光标处的汇编代码

next_head(addr)得到该地址后下一个被解析的地址，IDA中数据段U未被解析

GetDisasm(addr)得到反汇编行

GetFunctionName(addr):得到地址所在函数名

get_first_seg()：得到第一个段

 

get_curline():得到当前游标的反汇编行（带前面的段信息）

GetDisasm(ea):得到地址的反汇编行(不带前面的短信息)

get_segm_name(ea):得到段名

get_segm_end(ea):得到段的结束地址

get_next_seg(ea):得到下一个段

get_first_seg():得到第一个段

plan_and_wait(sEA,eEA):执行全部解析

is_code(F)

is_byte(F)

is_strlit(F)

is_double(F)

get_item_size(ea):得到一个对象的字节大小

get_prev_func(ea):找到上一个函数

get_next_func(ea)

create_strlit(ea,endea=BADADDR):结束地址无的话由内核计算

print_operand(ea,n):得到一个指令或数据的操作数(存放的字节)

get_name(ea):得到特定地址的名字，前面的名字

next_head(ea):得到下一个已定义的对象（数据或指令，被解析）

get_func_name(ea):得到函数的名字，如果没有在函数中返回''

MakeFunction(start,end=BADADDR)

MakeStr(ea,endea)

get_full_flags(ea):得到ea的F

ida_bytes

get_full_flags(ea):得到地址ea的flag值(flags_t)

get_item_end(ea):得到地址ea处对象的结束地址

get_item_head(ea):开始

get_item_size(ea):对象(指令/数据)大小(字节)

get_wide_byte(ea)/get_wide_dword/word(ea)create_data(ea, dataflag, size, tid)转变为数据(byte,word,dword,etc)

  dataflag:数据类型FF_byte,FF_word,FF_dword

  size:字节数

  tid:类型id，如果特殊类型是一个结构体，tid是一个结构体id，否则为BADNODE

GetFunctionName(addr)获取地址所在函数名，如果不在的话返回''

GetDisasm获取汇编代码的 比如mov eax,1

print_insn_mnem获取操作指令的，比如mov

print_operand获取操作数的，比如上面的1

create_byte  Convert the current item to a byte.

create_insn(nextcode)#某个地址转换成指令,并返回该指令字节数

del_items(nextcode,0)#删除此位置对象为未解析状态

add_func(start,BADADDR)#创建函数并在Function name中添加函数的名字

get_func_attr(start,FUNCATTR_END)得到函数的结束地址

 

DataRefsTo(ea):list of data references

DataRefsFrom(ea)

Functions():得到所有函数开始地址的列表

FuncItems(start):得到在此地址所在函数边界内的指令和数据对象开始地址

Chunks(start):得到此地址所在函数中函数块的(开始地址，结束地址)列表