进程转储和 Ida

逆向工程 艾达 记忆 倾倒 过程
2021-07-08 21:50:36

到目前为止,我一直在使用 Ida 进行静态分析,并使用 OllyDBG 进行运行时分析。

我已经在 Olly 中确定了一个函数,我想开始在 Ida 中进一步记录它,但是我似乎无法在 Ida 中找到该函数,并且该可执行文件似乎没有被打包或混淆。

什么可能导致这种情况?(除了用户错误:p)

我听说过将进程转储到内存,然后对该转储文件执行静态分析 - 这在当前上下文中有意义吗?

与仅查看可执行文件相比有什么区别?

用于转储进程的软件是否会影响它的结构 - 是否有不同类型的进程转储?

我实际上将如何在 Ida 中打开转储文件?

1个回答

如果您的二进制文件正在分配一个新的内存页面并在其上编写代码,那么您在静态二进制文件中不会看到这种情况。从内存中执行完整的进程转储并将这个新的二进制文件加载到 IDA 中确实会向您展示那些新的部分。数据必须来自某个地方(资源、压缩、加密、另一个文件、Internet 等)。

正如您提到的二进制文件似乎既没有打包也没有混淆,请务必检查您是否不仅进入了二进制文件的已加载 DLL 之一(反转导入的 DLL 之一可能不是您愿意做的事情? )。

其它你可能感兴趣的问题
上一篇通过脚本获取函数的伪代码 下一篇Java - 解密 jar 文件中的加密类