我正在分析的代码调用 fork,我想知道是否有办法跟踪创建的子进程。我查看了IDAPro Book并且没有任何关于该主题的内容(如果有的话我找不到)。也许 IDAPro 是不可能的。另外,如果有帮助,我正在从 Windows 机器远程调试 elf 可执行文件。提前致谢。
一些基本文档 https://www.hex-rays.com/products/ida/support/idadoc/index.shtml
如何使用 IDAPro 附加到子进程?
逆向工程
部件
艾达
2021-06-20 03:58:56
2个回答
这本身不是 IDA 问题。它更多地与您正在使用的调试器有关。我假设您通过 IDA 使用远程 GDB。调试器会将自己附加到特定的进程,并且仅限于该进程。幸运的是,GDB 有一个选项来跟踪子进程,使用调试选项:
set follow-fork-mode child
在 IDA 中输出窗口底部的 GDB 提示中键入 that,调试器应遵循分叉子进程的执行路径。
有关调试分叉的更多信息,请参阅此页面。
IDA 目前不支持多进程调试(截至 2013 年)。要调试新进程,您需要与当前进程分离,或者使用 IDA 的新实例。