AI摘要：本文介绍了Reverse工程中使用的工具，包括Detect It Easy、UPX通用脱壳和IDA，并详细说明了IDA的目录结构、常用快捷键和快照功能。

涉及工具：1.Detect It Easy;2.UPX通用脱壳;3.IDA
Detect It Easy这是一个检测是否加壳的程序，通常我们会将拿到题优先放入进行壳检测，流程如下
1.未查出壳-------->IDA
2.检测出UPX壳------>UPX通用脱壳（拿UPX壳举例)------->IDA
UPX脱壳：
进入UPX通用脱壳文件目录------>cmd进入终端------->upx -d 路径（你需要脱壳的程序路径）
IDA目录结构
在IDA的安装根目录下有许多文件夹，各个文件夹存储不同的内容

cfg：包含各种配置文件，基本IDA配置文件ida.cfg,GUI配置文件idagui.cfg，文本模式用户界面配置文件idatui.cfg,
idc：包含IDA内置脚本语言IDC所需要的核心文件
ids：包含一些符号文件
loaders：包含用于识别和解析PE或者ELF
plugins：附加的插件模块
procs：包含处理器模块

IDA常用快捷键
IDA中的快捷键都是和菜单栏的各个功能选项一一对应的，基本上你只要能在菜单栏上找到某个功能，也就能看到相应的快捷键，这里先记录几个常用的：

a：将数据转换为字符串
f5：一键反汇编（最常用）
esc：回退键，能够倒回上一部操作的视图（只有在反汇编窗口才是这个作用，若是在其他窗口按下esc，会关闭该窗口）
shift+f12：可以打开string窗口，一键找出所有的字符串，右击setup，能对窗口的属性进行设置（最常用）
ctrl+w：保存ida数据库
ctrl+s：选择某个数据段，直接进行跳转
ctrl+鼠标滚轮：能够调节流程视图的大小
ctrl+x：对着某个函数、变量按该快捷键，可以查看它的交叉引用（最常用）
g：直接跳转到某个地址
n：更改变量的名称
y：更改变量的类型
/ ：在反编译后伪代码的界面中写下注释
\：在反编译后伪代码的界面中隐藏/显示变量和函数的类型描述，有时候变量特别多的时候隐藏掉类型描述看起来会轻松很多
；：在反汇编后的界面中写下注释
ctrl+shift+w：拍摄IDA快照
u：undefine，取消定义函数、代码、数据的定义

拍摄快照
由于IDA不提供撤销的功能，如果你不小心按到某个键，导致ida数据库发生了改变，就得重新来过，所以要记得在经常操作的时 候，加上快照：file-->take database snapshot
加完快照后，会生成一个新的ida数据库文件，本质上是有点像另存为的操作
快捷键：

ctrl+shift+w