我知道这是一个非常新手的问题,对此我很抱歉,但我真的找不到任何方法让 IDA 在解包完成后分析代码。我的意思是,当我解压一个 exe 并将其转储到一个新的 exe 文件(使用另一个软件,而不是 IDA),然后在 IDA 中加载解压的 exe 时,一切正常(所有 API 调用都被识别等)。但是当我在 IDA 中加载解压的 exe 并在 OEP 上放一个 bp 时,我只是完成了“未扫描”的代码,不知道如何让 IDA 扫描它并识别 API 调用。预先感谢您提供任何帮助和提示。
程序解压后如何强制IDA分析打包的exe?
逆向工程
艾达
开箱
2021-06-16 06:49:38
2个回答
完成程序的解包并进入 OEP 后
文件 --> 插件 --> 通用解包器手动重构
如果信息不正确,请填写信息:)
好的,编辑免费版本:
这是我为重新分析程序所做的工作:
UPX打包的notepad.exe(容易解压)
将打包文件加载到新安装的 IDA Pro Free 5.0 中
通过调试器解压直到到达 OEP
解压后点击:Debugger --> Take memory snapshot --> All memory?(可能不是全部都需要,我用了全部,因为我想看看它是否可以工作)
终止进程
转到 OEP 并按“c”创建一些代码
选项-->常规-->分析-->重新分析程序(如上所示)
永远等待重新分析
OEP当然是不承认的,但是解压完成了一些呢?/ 全部?代码被 IDA 识别。
可能不是最好的方法,但免费版似乎有点限制。可能最好通过 olly 完成并将转储加载到 ida 中。:(
对我来说,只需点击
Options - General - Analysis - Reanalyze program
按钮解决了问题。