Дизассемблер IDA
Интерактивный дизассемблер IDA фирмы DataRescue позволяет получать крупинки знания о взаимодействии драйверов с операционной системой путем изучения хорошо зарекомендовавших себя драйверов, исходный текст которых зачастую недоступен. Для исследования драйверов NT, которые собираются в бинарный модуль (файл) с расширением sys, наиболее подходят версии IDA после 4.15. Последнюю испытательную версию можно загрузить (после регистрационного запроса) с Интернет-сайта фирмы datarescue.com. На момент подготовки книги к печати это была версия 4.6.
Помимо того, что полная версия дизассемблера IDA позволяет работать с исполняемым кодом не только для процессоров Intel, весьма полезной и интересной особенностью этой программы является ее умение визуализировать структуру вызовов в графических диаграммах, как это показано на рисунке 2.22.
Рис. 2.22 Диаграмма вызовов в одном из окон дизассемблера IDA |
Безусловно, рассмотреть возможности дизассемблера IDA Pro весьма сложно даже в рамках отдельной главы. Поэтому, учитывая мощь и полезность этой программы для самообразования разработчика драйверов, следует порекомендовать книгу Криса Касперских "Образ мышления — дизассемблер IDA", изд. Солон-Р, 2001, ISBN 5-93455-093-4, 480 страниц (правда, читателю следует быть готовым к тому, что в упомянутой книге рассмотрена далеко не последняя версия программы).