ida

11热度

2回答

我使用料斗反汇编器反汇编iOS应用程序。它适用于大多数应用程序。但是今天我只是好奇地理解一个银行应用程序，所以我试图反汇编它。所以，我将应用程序从我的越狱设备移动到我的Mac，当我试图用漏斗拆卸它时，它只是给了我一些无用的东西。这究竟是为什么？该银行应用程序的二进制文件是否被加密如果是，那我该如何解密呢？他们到底在做什么来混淆代码？他们的代码与其他应用程序代码有什么不同？我使用iFunbo

0热度

1回答

idn中retn4的含义

我想了解一个DLL。我是IDA反汇编的新手。我遇到了这条指令。以下说明是什么意思？我在IDA 5.0免费软件中看到了这个。 RETN 4

2热度

1回答

IDAPYTHON从内存中获取了错误的数据

我写了一个脚本来显示第二个参数NtQueryInformationProcess。但是，我总是收到错误的数据，好像内存不新鲜，我得到的是旧数据。这里是我的代码： from idaapi import * NtQueryInformationProcess=0x7798E740 class HookNQIP(DBG_Hooks): def dbg_bpt(self,tid,ea):

0热度

1回答

Ida：如何在内存中找到一个缓冲区变量

我有一个可执行文件，似乎是堆栈缓冲区溢出。我很确定我理解大部分情况，但我需要知道的是缓冲区存储在内存中的位置。如果我知道它的绝对地址，或者相对于EBP或任何其他注册表，我会是金黄的。我知道Ida跟踪字符串和函数，但有什么办法可以找到缓冲区或类似的变量吗？至少有一种方法可以获得某种线索？我已经能够为程序提供参数，但我不知道这些参数如何与缓冲区相关。再次，如果我能找到这些变量的位置，这并不难。我

7热度

2回答

如何做混合用户模式/内核模式调试？

基本上，我有一个用户模式程序调用kernel32.CreateProcessA（），它在内部调用kernel32.CreateProcessInternalW（）。在这个函数中，我对ntdll.NtCreateSection（）中发生的事情感兴趣，它试图在虚拟内存中映射可执行文件。一旦进入这个函数，程序会迅速将内核调用设置为EAX = 0x32并执行SYSENTER指令。很明显，我看不到在用户模

-1热度

1回答

如何在IDA中使用JMP？

.text:004430FE jz short loc_44311B .text:00443100 push 30h ; uType .text:00443102 push offset Athingy; "Hello" .text:00443107 push offset AnotherThingy; "Works" .text:0044310C

0热度

1回答

如何在内存中读取AddressOfEntryPoint

我正在努力分析恶意软件，该恶意软件尝试将新文件写入其他进程。他们将新文件的数据以MZ格式保存在内存中。我如何知道内存中PE文件入口点的地址？

0热度

1回答

IDA如何在调试过程中在常量内存段加载DLL？

每个TEST_DEBUG.EXE加载在0x04000000基地IDA模块，但在任何随机量基地像0x0C120000，0x0C710000，0x0ABC0000 加载 TEST_DEBUG.DLL文件时，如何我说IDA调试器，负载TEST_DEBUG.DLL在0x0ABC0000 BASE每次？ PS： TEST_DEBUG.EXE负载许多DLL和他们中的一个是TEST_DEBUG.DLL

0热度

1回答

编写插件：当我启动线程时，IDA Pro崩溃

当我尝试启动线程进入run方法时，IDA pro craches，任何想法？在ida中运行线程是否存在一些限制？因为我在文档中找不到任何东西，writing plugin ida。 import idaapi from threading import Thread import time class Listener(Thread): def __init__(self):

0热度

1回答

IDA Pro跳转到从基地偏移

我使用CheatEngine作为调试器（并获得大量的废话）。当我找到地址时，我总是根据指令开始位置的偏移量（例如program.exe + 402C0）将它们写下来。能够通过这种引用位置的方法来使用goto函数会很好，有没有办法做到这一点？