在 IDA pro 中转储 REGION 内存的最简单方法是什么?

逆向工程 艾达 蟒蛇
2021-06-21 19:56:35

我面临一个问题,我需要用 IDA pro 转储大面积的内存

使用 xdbg 可以通过转到内存映射选项卡并转储一个区域轻松完成,我如何在 IDA pro 中执行此操作?例如从地址 x 转储到 y

我尝试使用一个简单的 IDApython 脚本,但是如果大小很大,IDA 就会崩溃(我在远程调试 Windows 内核时正在转储一个大区域)

filename = AskFile(1, "*.bin", "Output file name")
address = startAddress
size = 0xFFFFFF
dbgr = True
with open(filename, "wb") as out:
    data = GetManyBytes(address, size, use_dbg=dbgr)
    out.write(data)
1个回答

没有脚本:

  1. 选择范围:

转到区域的开头,按Alt+L,转到结尾

  1. 编辑、导出数据(或Shift+E

  2. 选择“原始字节”并在“输出文件”字段中输入文件名。

使用脚本:

idc.savefile(filename, 0, startAddress, size)
其它你可能感兴趣的问题
上一篇如何在十六进制转储中轻松转换小端指针? 下一篇绕过 IsDebuggerPresent