-
-
求助IDA 的Xrefs from功能
-
发表于:
2011-10-18 15:10
5252
-
我一个新手现在和一个蛮过分的软件在顶牛。
他自己加载了一个文件,然后解密成好几个DLL之后再手动加载,重定位每个DLL,最后用一个CreateThread运行了这些DLL中的一个线程,用来反复检查自己有没有被修改。
我HOOK了CreateThread之后得到了线程的地址,跑过去一看,他这个线程也加N复杂,看了半天东跳西跳,左调用右调用也搞不明白他在干后。想从这个线程里面调用的API找手突破点。
但这个线程里面的代码太复杂,IDA有一个Xrefs from功能,能看到从这个函数开始起到结束所经过的路线,但由于这个DLL是由代码手动加载的,用IDA不能直接加截,看不到这个线程的地址。
用OD附加之后看得到,但他没有Xrefs from这个功能。
后来想用IDA来附加,结果附加之后IDA显示全是数据段,非得一个一个的按C来转成代码段。
想实现Xrefs From功能怎么就这么难呢。
现在想问问高手,OD里面有没有能实现这个Xrefs From类似功能的插件或IDA怎么样附加之后能像打个一个PE格式文件那样自动分析,自动识别为代码段呢
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
