是否可以在 IDA Pro 中对内存地址使用外部参照?

逆向工程 艾达 视窗 风袋
2021-06-14 12:04:34

说,如果我有以下反汇编:

在此处输入图片说明

我如何找出[eax+0xFCA]引用该字节的其他位置我似乎无法使用IDA的xref就可以了命令,但这样做xreffs:18h给了我太多的结果。

附注。我使用的是IDA Pro作为一个反汇编器,同时通过加强kernel32.dllWinDbg在用户模式下的调试器。在上面的屏幕截图中,EIP(断点)当前位于744E78D6感兴趣操作码处。

1个回答

IDA 的外部参照功能仅适用于静态参照。它通过静态分析代码检测到的引用。它无法使用外部参照功能找到对地址的任何动态或运行时引用。

相反,您需要使用内存断点功能 IDA 的调试接口(或任何其他调试器,就此而言)在访问内存地址时断点。请注意,内存断点有几个注意事项,例如会导致明显的性能损失和可被反调试技术检测到。硬件断点也可以用于相同的目的,但更难被反调试技术检测到。

其它你可能感兴趣的问题
上一篇如何检查专有固件是否违反 GPL 下一篇如何在 IDA Pro 中使用 IDAPython 加载 C 头文件?