[讨论] IDA调试脚本堆栈数据不能更新-软件逆向-看雪-安全社区|安全招聘|kanxue.com

sungy

2017-8-18 11:40

3345

写了这样一个IDA脚本，运行时不能达到想要的结果，请高手指导

想用IDA写个脚本实现当程序执行到 089BA5E4 时保存[esp + 4] 的内存数据，然后程序运行到 089BA5E9 时再保存一次 [esp + 4] 的内存数据，于是写了类似下的脚本，

auto fp = fopen("d:\d1.dat","wb");

auto ea = DbgDword(esp + 4);

savefile(fp,0,ea,16);

fclose(fp);

RunTo(0x089BA5E9);

fp2 = fopen("d:\d2.dat","wb");

ea = DbgDword(esp + 4); //一个脚本中出现两处引用esp时会出错,不能执行!!!

savefile(fp,0,ea,16);

fclose(fp);

请问，怎么才能实现自动记录类似上面数据的脚本啊？

收藏・2

免费・0

支持

最新回复 (3)
sunjor 雪币： 60 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 81 粉丝 0 关注私信	sunjor 2 楼 RunTo(0x089BA5E9);后面加GetDebuggerEvent(WFNE_SUSP, -1) 2017-8-18 14:27 0
sungy 雪币： 547 活跃值： (2200) 能力值： ( LV7，RANK：100 ) 在线值：发帖 146 回帖 665 粉丝 31 关注私信	sungy 1 3 楼 sunjor RunTo(0x089BA5E9);后面加GetDebuggerEvent(WFNE_SUSP, -1) 问题解决了，谢谢高手回复 2017-8-18 17:25 0
任飞guan 雪币： 1432 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 127 粉丝 1 关注私信	任飞guan 4 楼确实是难得好帖啊，顶先 2017-8-22 10:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sungy

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
sunjor 雪币： 60 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 81 粉丝 0 关注私信	sunjor 2 楼 RunTo(0x089BA5E9);后面加GetDebuggerEvent(WFNE_SUSP, -1) 2017-8-18 14:27 0
sungy 雪币： 547 活跃值： (2200) 能力值： ( LV7，RANK：100 ) 在线值：发帖 146 回帖 665 粉丝 31 关注私信	sungy 1 3 楼 sunjor RunTo(0x089BA5E9);后面加GetDebuggerEvent(WFNE_SUSP, -1) 问题解决了，谢谢高手回复 2017-8-18 17:25 0
任飞guan 雪币： 1432 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 127 粉丝 1 关注私信	任飞guan 4 楼确实是难得好帖啊，顶先 2017-8-22 10:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复