[IDA使用技巧]#163：名称列表

梦幻的彼岸

翻译：梦幻的彼岸

原文地址：https://hex-rays.com/blog/igors-tip-of-the-week-163-names-list/

函数列表可能是 IDA 默认桌面布局中最广为人知和最常用的部分。它包括当前数据库中所有已检测到的功能，并提供了快速查找和导航到任何功能的方法。然而，数据库不仅包括函数，还包括未包含在任何函数中的数据项或指令。例如，调试信息可能提供了一个名称，但 IDA 可能因某种原因无法创建一个函数。在这种情况下，你可以有一个名称，但没有函数。您可以强制创建一个函数，但如何发现这种情况呢？如果事先知道名称，可以使用 “Jump to address”（G）操作跳转到它，但如果名称很长或有不常用的字符，就会变得复杂。如何在不滚动整个列表的情况下发现这些名称？

Names 窗口

可以通过如下操作打开包含名称列表的单独视图 View > Open subviews > Names (Shift–F4)

许多条目将与函数列表中的相同：

但也有不同之处：

• 函数列表包含所有函数，包括未命名的函数（它们会得到一个以 sub_ 开头的虚拟名称）
• 名称列表不仅包括函数名称（用f标记），还包括其他名称，例如全局标签（i）或数据项（D）。
  
  

按名称跳转

除了永久性的“名称”窗口外，您还可以使用“跳转 > 按名称跳转”（Ctrl–L）。这会显示与模态选择器相同的列表，意味着您可以筛选或递增搜索找到所需名称，并使用Enter键或双击进行跳转。

扩展

Many entries（许多条目)通常指的是在列表、数据库或其他数据结构中存储的多个条目。这些条目可能具有相同的属性或特征，或者它们可能是重复的。

在恶意软件分析中，这可能意味着在函数列表中有许多相似的或重复的函数。这些函数可能是由同一恶意软件样本中的不同变体或版本产生的，或者它们可能是由不同的恶意软件样本但具有相似功能的函数产生的。

了解这些相似或重复的函数可以帮助恶意软件分析工程师识别恶意软件家族、追踪攻击者、了解攻击策略以及发现新的防御方法。