我注意到尽管 win32 可执行文件的图像库是 0x400000,但 Ida Pro 仅从 0x401000 开始分析。在此之前是什么以及如何更改 IDA 的设置以在图像库中开始分析?谢谢你。
如何让 IDA 在 imagebase 开始分析?
逆向工程
艾达
记忆
2021-06-19 17:14:19
1个回答
PE 可执行文件以一个标题块开始,该标题块由一个小的 DOS exe 存根(带有自己的小标题)、一个名为IMAGE_NT_HEADERS的结构和一个节表组成。普通 PE 在那里没有 32 位/64 位可执行代码,因此 IDA 不会加载标头块,除非您选中“手动加载”。
相关资源:
- Microsoft 的PE COFF 规范(目前为 8.3 版)
- Matt Pietrek 的经典Peering Inside the PE:Win32 可移植可执行文件格式之旅
- 其续集深入研究 Win32 可移植可执行文件格式
- ReversingLabs未记录的 PECOFF
其它你可能感兴趣的问题