文章目录
在逆向分析中,PE静态文件是基础,内含有完整的二进制代码,程序执行逻辑和数据。如果含有系统api信息,将更有利于分析代码的逻辑。IDA软件就具有这样的优势。而x32dbg具有强大的动态跟踪分析能力,而结合两者的关键在于虚拟地址的对齐。一般修改IDA中的静态基址。Edit —> Segment ----- Rebase Program : 设置基地址;基址从x32dbg中获取。
1.x32dbg图标代码分析–流程图–快捷键(G)
- 1.x32dbg图标代码分析--流程图--快捷键(G)
- 2.IDA查找MFC对话框初始化函数
- 3.查找执行位置函数
- 4.交叉参考
- 5.作者答疑
按shift+enter返回。
在IDA中查找对话框初始化函数。如下图所示: 
在x32dbg中,对应的模块如下图所示: 
在查找初始化函数时,可以先定位初始化函数。然后在虚函数中,有调用原始函数,所以原始函数返回,即为目标函数所在的位置。如下图所示: 
如果在x32dbg中找到一个地址,可以在IDA中查看,这个函数的代码,如下图所示: 
通过交叉参考(XREF)可以知道指令代码互相调用的关系.如下: .text:00401165 loc_401165: ;CODE XREF:sub_401120+B|j CODE XREF:sub_401120+B|j 表示该调用地址是401120, “j”表示跳转(jump) “o”表示偏移值(offset) “p”表示子程序(procedure) 双击这里或按回车键可以跳到调用该处的地方
5.作者答疑如有疑问,敬请留言。
