IDA 调试的 cmd.exe 的代码基部与 PE 可选头中的代码基部不符？

Icy_Ybk 2017-07-31 01:15:54

这几天学了下 PE 结构的一些知识。今天拿 cmd.exe 练练手，用 eXeScope 查看到的映像基址为 4AD00000h 代码基部为 00001000h，入口点为 00005046h。
于是用 IDA 加载了一下，入口点为 4AD05046h=4AD00000h+00005046h，这个对上了，可是向上翻到 4AD01000h 处，本应该是代码基部的，看到的却是一个 .idata 段，是输入表，接着向下翻到 4AD01300h 处才是代码开始处。

我想知道这是怎么一回事儿？是我忽略了什么还是...？
没发过几个贴，因此不知道发到那个板块好，觉得这个跟反汇编什么的有些关系，就发到这个板块了，如违规请见谅.....

...全文

259 2 打赏收藏转发到动态举报

写回复

2 条回复

切换为时间正序

请发表友善的回复…

发表回复

Icy_Ybk 2017-07-31

打赏
举报

回复

或者说，输入表的内容算不算在代码段中？

Icy_Ybk 2017-07-31

打赏
举报

回复

最强悍的反编译工具 Hex-Rays。可以反编译 VB VC BCB Delphi 等等一切 x86/x64 代码为 C 代码。密码参见内附说明文件。我写了个简单的介绍 http://blog.caozhongyan.com/article.asp?id=19

原因很简单，缺少符号文件。解决方法：打开IDA目录下的文件pdb.cfg，把PDBSYM_SYMPATH = "SRV*c:\\symbols*http://symbols.mozilla.org/firefox;SRV*c:\\symbols*http://msdl.microsoft.com/download/symbols";这段前面的注释去掉，保存配置文件，重新用IDA打开ntosk...

文章目录前言IDA调试基础1.1 JNI函数转换1.2 快捷键使用1.3 ARM指令集IDA调试APK2.1 IDA调试步骤2.2 Apk调试实例IDA调试EXE3.1 IDA静态分析3.2 IDA动态调试总结前言在前一篇文章：JEB动态调试与篡改攻防世界Ph0en1x-100 中介绍了如何借助 JEB 调试工具对 APK 的 smali 源码进行调试分析，本文主要来看如何使用 IDA 来调试 Android 中的 native 源码，因为现在一些 app，为了安全或者效率问题，会把一些重要的功能放到

我发现用IDA破解TraceMe.exe比OD容易多了。打开IDA 后，直接搜索“序列号”，得到双击跳转到反汇编窗口，按F5转换为类C++代码 signed int __stdcall DialogFunc(HWND hWnd, int a2, unsigned __int16 a3, int a4) { signed int v5; // ebx@9 i

IDA修改hello.exe，使得程序hello.exe的输出由“Hello World！”改为“Reverse Me！” a)IDA打开hello.exe b)查看String Windows 查找到“hello world！” c) 单击鼠标右键-Graph View，切换为Graph View，展现各个结构之间的关系。 d)将判断指令JZ改为JNZ，这样当输入为true时，程序将跳转输出字符串Reserve Me！需要设置IDA显示16进制机器码，即图中步骤2、3 之后IDA就会显示16

21,459

社区成员

41,601

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章