如何处理在不同执行过程中改变地址的代码

逆向工程 艾达 视窗 包装工
2021-06-21 00:32:00

我认为这是每个逆向者的基本需求,所以这个问题可能在其他地方被问过,但实际上,我无法找到答案。也许我问错了问题。

因此,假设我有一个 DLL 由于 ASLR 在不同的执行中更改基 VA,在 Windows 中我可以设置 DLLCharacteristic 以确保每次都在同一地址加载(最终丢失签名)。但是通用代码呢?

假设一个程序分配一个缓冲区,复制一些数据,解密然后运行它。在 IDA 中,我当然可以对内存进行快照、分析、放置标签等,但是如果我运行该程序,第二次可能会更改地址,因此我无法从之前的分析中受益。

有没有办法用数据库中先前分析的部分映射任意地址?

1个回答

要将您的部分映射到另一个地址,请使用Edit -> Segments而不是Move current segment in IDA,您甚至可以在此菜单中重新设置整个程序。

我希望我已经理解了你的问题。对不起,如果不是:)

其它你可能感兴趣的问题
上一篇如何从 windows wdm 驱动程序获取 KiFastCallEntry 的地址 下一篇使用 IDA 找出 Windows API 调用?