1回答
我在IDA上有这个函数(4F314A),我想知道何时/如果将调用: ? 我喜欢添加一个断点来欺骗引擎,我使用了以下代码: debugProcess() -- Attach Debugger to the process.
function debugger_onBreakpoint这是向欺骗引擎添加断点以查看汇编函数是否会调用的正确方法吗? 谢谢!
浏览 42提问于2020-09-29得票数 0
回答已采纳
1回答
到目前为止,我已经能够运行这些程序,完全用C编写,并与gcc一起编译,通过gdbserver远程连接到IDA 6.8。
但是,现在有一个程序我正在尝试运行,并且它没有命中在IDA中设置的断点。两者之间有明显的通信,我可以通过IDA执行程序,但它不会停止在我设置的任何断点,包括程序执行流中的断点,这些断点肯定会被击中。我在地址上设置了断点,所以不可
浏览 2提问于2017-01-25得票数 1
1回答
我正在用IDA + WinDBG插件进行一些远程内核调试,我想在DLL中的某个函数中设置一个断点,这是我在IDA中拆解它时发现的。我切换到进程,该进程加载目标DLL,但不幸的是,我发现内存中的DLL部分丢失了,包括我的函数。
下面是证明的例子。在这里,IDA识别了函数sub_180001FC8,但是在WinDBG中,这个反汇编在address 0
浏览 2提问于2021-05-18得票数 0
回答已采纳
2回答
我正在远程调试一台windows XP机器。我的一个驱动程序在地址0xb2c4c000到0xb2cb9680之间加载。现在,当我在IDA中打开我的驱动程序时,我想在其上设置断点的偏移量是00017619。
如何有效地将我的IDA地址与windbg相匹配?我已经尝试了显而易见的方法,即求和0xb2c4c000 + 00017619 = 0xB2C635F7,然后在windbg中使用&
浏览 0提问于2010-04-15得票数 2
因此,如果我在IDA上加载EXE,则在不同的位置上有偏移量和内存地址。
当我启动该EXE并在作弊引擎中看到一个变量之后,它是否与加载的IDA中的地址相同?比如ghidra?
浏览 5提问于2019-11-27得票数 1
回答已采纳
2回答
假设一个调试器(常见的x86 ring3调试器,如olly、IDA、gdb.)将软件断点设置为虚拟地址0x1234。这是通过将0x1234上的任何操作代码替换为' 0xCC‘来实现的--现在让我们假设调试器进程运行这个0xCC指令,并引发软件异常,调试器会捕捉到这一点。据我所知这是。从现
浏览 0提问于2013-03-26得票数 4
我想要更改或读取指针的值,这是在其他program.But,我需要知道指针的address.Can,我得到的地址没有作弊引擎,我怎么做呢?在youtube/google/facebook上,他们使用作弊引擎来知道地址。
浏览 0提问于2019-07-21得票数 0
1回答
内核调试时的ida64内存访问
、、、、
我正在尝试用VMWare 9.0和IDA调试64位linux内核。我按照这里列出的指令()成功调试了32位内核。然而,如果我在64位内核上尝试同样的事情,IDA显示出奇怪的行为……
我可以通过IDA远程GDB调试附加到64位内核,并成功设置断点和单步执行。但我看不到任何内存内容或反汇编代码。下面的链接解释了与我完全相同的问题,然而,没有答案。
浏览 2提问于2014-06-10得票数 2
问题是,当我处于崩溃帧(例如,另一个函数试图访问地址0xff8000)时,崩溃函数可能与执行转换的原始movsx代码相距很远。崩溃函数(及其调用者)被调用了数千次,因此不可能在之前的某个点设置一个断点,并查看寄存器值的变化情况。看来,每次我运行程序时,堆栈地址都不同于上一次运行,因此数据断点也不能正常工作,因为我不知道在崩溃发生之前要中断哪个地址。我需要一种很好的
浏览 0提问于2016-08-29得票数 4
我熟悉使用windbg或IDA进行远程内核调试,但现在我已经从可执行文件中提取了一个内核驱动程序,并对它的IDB做了静态分析,并重命名了很多变量,那么当可执行文件加载驱动程序时,使用我的IDB文件在远程被调试对象上调试驱动程序的最简单方法是什么我知道如何使用IDA附加到远程内核,但我如何使用当前的IDB文件,并在它的一些函数上设置断点,以便在加载驱动程序时命中它们?(我没有对应于驱
浏览 45提问于2020-10-18得票数 0
1回答
不正当的函数调用
、、、、
所以我要做的很简单,我想把一个函数写到另一个进程的内存中,然后执行它。我所做的就是得到函数的大小,并使用WriteProcessMemory来完成这个任务。我已经成功地创建了一个线程来运行这个函数,并使用欺骗引擎的调试功能进行了确认。该函数如下所示:{ }
看起来很简单。它不应该依赖任何需要重新安置的东西,
浏览 1提问于2019-02-15得票数 1
回答已采纳
我查看了一些编译器输出,当函数被调用时,它通常开始设置调用堆栈,如下所示:MOV EBP, ESPPUSH ESI因此,我们将调用例程的基本指针保存在堆栈上,将我们自己的基本指针向上移动,然后将几个寄存器的内容存储在堆栈上。但是,我注意到在一个例程中,设置调用堆栈的代码看起来有点不同。事实上,看起来是这样的:PUSH EDIPUSH
浏览 1提问于2017-02-17得票数 8
回答已采纳
我一直试图用java编写一个客户端的代码(老实说:我的世界)。但这不仅适用于“我的世界”,也适用于java虚拟机体系结构,或者我认为是这样的。基本上,我使用欺骗引擎来查找内存地址,并且找到了似乎与播放器的健康值相对应的地址。
问题是:不可能修改它,所以问题是:我做错了什么,还是有一种机制限制JVM中内存的修改?实现这一目标的方法是使用kernel.dll提供的外部
浏览 6提问于2017-08-13得票数 2
回答已采纳
2回答
我正在使用winappdbg框架在python中构建调试器。我可以使用event.debug.break_at(event.get_pid(),address)设置一些断点,以便在设置断点之后设置断点(不是在设置断点时,而是在程序命中断点时!)Access Violationb.t.w我从一个由IDA生成的</em
浏览 0提问于2013-02-25得票数 0
回答已采纳
1回答
我有IDA和作弊引擎。我想要做的是改变应用程序的分辨率,实际上只是改变窗口的宽度和高度。我知道仅仅改变宽度和高度并不能使应用程序正常工作,但这是我理解反汇编程序的第一步。嗯,看起来我找到了宽和高,所以我得到了常量的地址,让我们试着改变它们。(实际上,通过搜索,我用这个常量找到了另外两个位置。但并不是所有的窗口都是用来创建窗口的,因为我只是尝试改变窗口的高度和宽度,所以我将使用它们)
浏览 0提问于2016-06-17得票数 0
我想要做的是读取一个静态地址,它指向一个包含一些值的动态入口。但是,如果我试图读取静态地址,它总是返回0。读取它的唯一方法是,如果我将调试器附加到作弊引擎中的动态地址。如果我打开欺骗引擎并将地址0x74EA46D8添加到地址列表中。然后右击它,然后按下“查找访问这个地址的地址”,它可以突然被读取。启用SeDeb
浏览 3提问于2012-09-14得票数 1
我刚刚开始使用IDA Pro (试用版)。我正在尝试使用IDA Pro对一个二进制ARM文件进行反编译;是否可以向该二进制文件添加一个全新的函数,以及是否可以更改现有函数的名称?我正在考虑将新添加的函数作为新的入口点,并将旧的入口点重命名为我想要使用的else.Also。
谢谢SrcKode
浏览 0提问于2012-04-27得票数 0
当我在“断点”窗口中取消选中数据断点时,在写入内存时仍会发生异常。但是,如果我将设置中的地址设置为其他值,则不会发生异常。我该如何解决这个问题呢?我希望能够以这种方式禁用数据断点,这样的期望现实吗?
浏览 3提问于2018-07-19得票数 1
2回答
我试图用我糟糕的汇编技术来分析dll文件,所以如果我不能完成一些非常微不足道的事情,请原谅我。我的问题是,在调试应用程序时,我只在调试会话中找到了我要查找的代码,在我停止调试器之后,地址就不见了。dll看起来不像是模糊的,因为许多代码是可读的。看一看。我要找的代码位于debug376部分的地址07D1EBBF。顺便说一句,我从哪里得到这个debug376部分<em
浏览 0提问于2012-06-05得票数 3
回答已采纳
1回答
由于未知的原因,公司决定不向所有购买相机的用户提供CamerSampleSDK.exe源代码。主要的问题是是否有可能找到CameraSDK.dll应用程序CamerSampleSDK.exe调用的函数?在这种情况下可以使用哪种应用程序?
浏览 0提问于2019-07-08得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
