[求助]IDA 脚本获取设置image base?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 2 楼 ********************************************* Enumerate process modules These function return the module base address long GetFirstModule(void); long GetNextModule(long base); ******************************************* Get process module name base - the base address of the module returns: required info or 0 string GetModuleName(long base); ********************************************* Get process module size base - the base address of the module returns: required info or -1 long GetModuleSize(long base); 2015-3-9 16:26 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 3 楼楼上正解。 2015-3-10 00:39 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 4 楼 PE文件获取内存中获取(加载后会保存的FS:0翻翻资料有几个月忘了应该是这个位置然后向下一点点)还有API获取？ 2015-3-10 00:40 0
dolphinzhu 雪币： 5266 活跃值： (2306) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 136 粉丝 1 关注私信	dolphinzhu 5 楼多谢，但是我使用GetFirstModule怎么得到是FFFFFFFF，IDC代码如下： auto base; base = GetFirstModule(); Message("base = %08X\n", base); 输出： base = FFFFFFFF 我现在是静态分析，并没有动态调试，是不是因为这个原因呢？难道还需要先Enumerate process modules，然后再调用GetFirstModule ? PS：我现在反汇编的是固件中非标准ELF结构二进制文件。 2015-3-10 10:08 0
dolphinzhu 雪币： 5266 活跃值： (2306) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 136 粉丝 1 关注私信	dolphinzhu 6 楼我在使用IDA pro动态调试一个x86程序时，执行上述脚本，结果就对了，结果如下： base = 00400000 我现在并没有动态调试，仅仅是想在静态反汇编时获得基址。请问大家怎么写脚本？ 2015-3-18 17:02 0
dolphinzhu 雪币： 5266 活跃值： (2306) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 136 粉丝 1 关注私信	dolphinzhu 7 楼知道答案了，多谢大家。使用IDAPython函数 idaapi.get_imagebase() 2015-3-18 19:22 0
moonkit 雪币： 12 活跃值： (395) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 34 粉丝 0 关注私信	moonkit 8 楼 FirstSeg(); 回复时间有误？ 2020-5-27 22:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 2 楼 ********************************************* Enumerate process modules These function return the module base address long GetFirstModule(void); long GetNextModule(long base); ******************************************* Get process module name base - the base address of the module returns: required info or 0 string GetModuleName(long base); ********************************************* Get process module size base - the base address of the module returns: required info or -1 long GetModuleSize(long base); 2015-3-9 16:26 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 3 楼楼上正解。 2015-3-10 00:39 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 4 楼 PE文件获取内存中获取(加载后会保存的FS:0翻翻资料有几个月忘了应该是这个位置然后向下一点点)还有API获取？ 2015-3-10 00:40 0
dolphinzhu 雪币： 5266 活跃值： (2306) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 136 粉丝 1 关注私信	dolphinzhu 5 楼多谢，但是我使用GetFirstModule怎么得到是FFFFFFFF，IDC代码如下： auto base; base = GetFirstModule(); Message("base = %08X\n", base); 输出： base = FFFFFFFF 我现在是静态分析，并没有动态调试，是不是因为这个原因呢？难道还需要先Enumerate process modules，然后再调用GetFirstModule ? PS：我现在反汇编的是固件中非标准ELF结构二进制文件。 2015-3-10 10:08 0
dolphinzhu 雪币： 5266 活跃值： (2306) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 136 粉丝 1 关注私信	dolphinzhu 6 楼我在使用IDA pro动态调试一个x86程序时，执行上述脚本，结果就对了，结果如下： base = 00400000 我现在并没有动态调试，仅仅是想在静态反汇编时获得基址。请问大家怎么写脚本？ 2015-3-18 17:02 0
dolphinzhu 雪币： 5266 活跃值： (2306) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 136 粉丝 1 关注私信	dolphinzhu 7 楼知道答案了，多谢大家。使用IDAPython函数 idaapi.get_imagebase() 2015-3-18 19:22 0
moonkit 雪币： 12 活跃值： (395) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 34 粉丝 0 关注私信	moonkit 8 楼 FirstSeg(); 回复时间有误？ 2020-5-27 22:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复