首页
社区
课程
招聘
[求助] IDA 自动导入的结构体。
发表于: 2013-7-17 15:28 14003

[求助] IDA 自动导入的结构体。

2013-7-17 15:28
14003
情况:
1:在分析ntoskrnl.exe的时候会自动倒入很多的结构体,比如_LOADER_PARAMETER_BLOCK
2: 在分析hal.dll的时候虽然ida也自动倒入了一些结构体,可是没有_LOADER_PARAMETER_BLOCK ,我除了字节shift + f1 Copy结构体外,有什么办法能快速导入?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 399
活跃值: (38)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
2
Ctrl+F9可以把头文件(.h)中的结构体快速导入。
2013-7-17 15:34
0
雪    币: 8
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
没有头文件阿,所有的结构体都是IDA自己导入的。
2013-7-17 15:38
0
雪    币: 1121
活跃值: (727)
能力值: ( LV5,RANK:66 )
在线值:
发帖
回帖
粉丝
4
自己建一个头文件,定义好自己常分析的结构,以后每次导入。
2013-7-17 16:51
1
雪    币: 8
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
1:把HAL拖入到IDA中,shift+f9,insert 输入一IRP,能看到IDA自动建立好了这个IRP结构。
2:分析一个exe文件,shift+f9,insert 输入一IRP,仅能建立一个空的结构体,上面的方法要是能利用该多好啊。
2013-7-17 20:05
0
雪    币: 2242
活跃值: (488)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
6
很简单的,ida初始化的时候会调用用户自定义脚本,我们可在此添加代码实现你的要求

举个例子,打开$(IDA_PATH)\IDC\onload.idc

在OnLoad函数头部添加以下代码

   LoadTil("ntddk.til");
   Til2Idb(-1, "IRP");

fyi,最好利用USERLOAD_IDC
2013-7-17 22:18
0
雪    币: 244
活跃值: (174)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
学习到了哈
2018-10-12 11:09
0
游客
登录 | 注册 方可回帖
返回
//