使用 IDA Pro 开始我的 RE 冒险,我在其中打开了一个 windows .exe 文件。在调试文件时,调试器运行良好并以返回 1 值退出: Debugger: process has exited (exit code 1)。问题是这一切都在一秒钟内发生!在将 .exe 提供给 IDA Pro 之前,我尝试双击打开它。窗口控制台显示它自己并在一瞥中消失; 在控制台保持打开状态的情况下运行 .exe 的唯一方法是通过 cmd。我猜 IDA Pro 调试器只是出于同样的原因退出,控制台在正常运行 .exe 时逐渐消失!所以我被困在一个运行良好的 .exe 文件中,但我没有机会调试它并监控程序的流程!
IDA Pro 调试窗口瞬间关闭!
逆向工程
艾达
调试器
2021-07-03 16:58:16
3个回答
好像你没有添加任何断点。默认情况下不应用断点。
您可以在调试器选项中的程序入口(以及其他事件)上添加断点。在 Debugger Options 中,选中“Suspend on process entry point”框或任何其他可用事件。在此处阅读更多信息:
https://www.hex-rays.com/products/ida/support/idadoc/1413.shtml
或者,您可以找到一行汇编代码并在该行上添加一个断点,一旦执行到该指令,程序就会中断。
一旦遇到断点,您就可以跳过每条指令等。
您打开的是 32 位还是 64 位 .exe(由于没有足够的声望点,无法将其添加为评论)?如果您使用 32 位 IDA 实例打开 64 位文件,您可能会遇到问题。如果您使用的是免费版本,则可以打开的内容有限制,如下所述:https : //www.hex-rays.com/products/ida/support/download_freeware.shtml
这个问题类似于另一个帖子:IDA 无法启动 64 位 exe 文件的调试器
所以我通过程序集,找到了一个退出子程序。显然,调试器曾经在到达命令后退出。我只是避开了退出部分,因为所有应该发生的事情都发生在退出命令之前。
其它你可能感兴趣的问题