IDA pro与x64dbg地址对齐
在使用IDA pro静态分析32位和64位程序时候,起始地址都是标准的从00400000、0000000140000000开始,这种基地址也是标准的地址。
然而在使用x64dbg的动态调试的时候,它的起始地址竟然不是从0x00400000或0x0000000140000000开始的。这对于使用IDA静态分析然后根据x64dbg动态调试的方式来说,是一个不小的困难。
因为IDA pro我分析好了程序结构,x64dbg中直接到这地方的反汇编代码,使用00000001400010FB作为地址是显然不行的。
我们看到下图在x64dbg中的地址跳转,是无效的地址,而且在x64dbg中地址0000000077627981开始的。
解决方式
这里以winrar的运行方式为例子进行讲解,首先IDA pro 64位打开winrar,然后找到main函数的地方(IDA pro找到main函数的方式很简单,在左边栏能够明显的发现main函数)。
那么根据IDA能够对其进行静态分析,并且找到了main函数程序入口的位置,我们还需要使用x64dbg进行调试,同理调试的时候也需要找到main函数的位置。
我采用的是地址法,在IDA中main函数的第一条汇编是.text:00000001400E9E58 push rdi,其地址也就是0x00000001400E9E58,其在文件中的偏移地址为:当前地址(0x00000001400E9E58 ) 减去 起始地址(0x140001000) 得到 0xE8E58 。
在x64dbg中根据快捷键alt + e也就是进入符号栏,根据查找到 winrar.exe 和 用户模块 对应的地方;如果你是别的程序比如test.exe找到其反汇编的地方,那么一般是test.exe和用户模块这两个条件来确认是test.exe反汇编的地方。
根据上图我们还知道winrar.exe的基地址是0x000000013FE71000开始的,我们双击进入查看其反汇编。
然后计算出x64dbg与IDA pro对应的.text:00000001400E9E58 push rdi这条指令地址,0x000000013FE71000 + 0xE8E58 = 0x13FF59E58,那么我们将计算出0x13FF59E58在x64dbg中进行跳转ctrl + g可以看到这里我们要找的位置。
总结
- 首先在IDA找到main函数,根据你的要求找到对应的汇编位置,然后计算出其在相对偏移地址
- 根据计算出的相对偏移地址,在x64dbg根据
alt + e找到你所想要调试的模块的位置,即那个模块的基地址。 - 将IDA偏移地址与x64dbg中基地址加起来,就能在x64dbg中跳转到对应的位置了。
IDA pro与x64dbg地址对齐相关推荐
- IDA Pro与x64dbg联动调试记录
将ret-sync项目中的ext_ida目录下所有文件复制到ida的plugins目录下 ida打开一个可执行文件,然后点击edit=>plugins=>ret sync ret-sync ...
- x64dbg和IDA pro 配置PDB 符号文件symbols
PDB 作用 PDB(Program Debugging Database)就是在生成EXE 和 DLL 文件的过程中生成的这个文件,可以帮助进行调试. 为什么x64dbg 没有将PDB 文件集成到软 ...
- ida 反编译 linux bin,使用IDA pro逆向ARM M系核心的Bin固件
物联网和智能设备这两年还是比较火的,我们的手中或多或少都有了几个智能设备,比如手环,智能手表,或者门锁什么之类的东西,但是同学们在做逆向的时候,却有很多问题.要不然是根本拿不到固件,要不然是拿到了Bi ...
- [免费专栏] Android安全之静态逆向APK应用浅析「手动注入smali」+「IDA Pro静态分析so文件」+「IDA Pro基础使用讲解」
也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大 少走了弯路,也就错过了风景,无论如何,感谢经历 Android安全付费专栏长期更新,本篇最新内容请前往: [ ...
- IDA Pro - 如何得到比较清楚的逆向伪代码
原文地址:Question about disassembler 简介 这篇文章介绍了如何在不使用插件的IDA Hex-Rays如何得到比较清晰的伪代码.IDA Hex-Rays功能很强大,只要你提供 ...
- IDA Pro 数据库文件、函数窗口、结构体窗口
打开IDA Pro自带测试exe:见此: https://blog.csdn.net/bcbobo21cn/article/details/102578262 将生成如下图几个用于IDA Pro 辅助 ...
- IDA Pro 权威指南阅读摘要1
IDA Pro 权威指南阅读摘要1 文件加载 使用File->Open命令打开一个新文件时,会看到加载对话框. Binary File (二进制文件)是加载类型列表的最后一个选项,它是IDA加载 ...
- 通过QEMU 和 IDA Pro远程调试设备固件
0x00 背景与简介 这篇文章主要讲了如何在模拟环境下调试设备固件. 作者:Zach Cutlip 原文链接:http://shadow-file.blogspot.gr/2015/01/dynami ...
- IDA Pro动态调试Android so文件
网上的教程坑太多,记录一下 使用apktool或者Android Killer反编译apk,在androidmanifest.xml添加以下代码将程序设置为可调试模式 <application ...
最新文章
- settimeout需要清除吗_【期刊导读】新证据:HBsAg水平极低的非活动性HBsAg携带者经聚乙二醇干扰素治疗24周, HBsAg清除率高达83.3%...
- Lync2013 恢复-整残之后如何重新安装
- opencv 叠加两张图_「干货」教你如何用OpenCV快速寻找图像差异处
- 机器学习如何计算特征的重要性_机器学习之特征工程
- 计算机网络课程设计之网络代理服务器的设计与实现
- 学习Nginx,看这篇就就好了!(多图详解)
- MySql的备份与恢复
- 等级保护三级测评要求表
- Mac JDK下载与安装
- element-vue admin 右击路由选项 利用fullscreen实现全局页面全屏
- WPS2019 For Ubuntu
- Android安全启动学习(五):Android Verified Boot 2.0
- 分类:支持向量机(四)——非线性支持向量机
- 关于Oracle索引的一点认识
- Unity 中子弹弓箭射击脚本
- 好用又免费的办公软件
- IDEA因Untrusted project无法导入jar包解决方法
- 从富士康普工转行产品经理,月薪翻了3倍
- 2017百度实习生招聘笔试真题编程题集合
- 希望技术帮助一些人更体面的工作和生活
热门文章
- excel单元格内容拆分_Excel批量合并相同内容的单元格
- vscode遇到无法访问此网站问题的两种解决方法
- Chino with Triangle ( 西工大程序设计创新实践基地春季选拔赛)树形dp
- Making Sense of all these Crazy Web Service Standards
- 【小程序开发之微信登录】
- 设置导航栏字体大小,颜色和加粗字体的方法
- 把QQ群共享当做网盘用感觉还不错
- ROS话题通信c++和python实现
- 计算机课学生评价用语,主题班会课对学生的评价用语
- 安装软件时遇到 1152:Error extracting to the temporary location