首页
社区
课程
招聘
[求助]新PDB怎么修改匹配到旧DLL上面,差几个函数位置
发表于: 2018-11-28 22:26 3062

[求助]新PDB怎么修改匹配到旧DLL上面,差几个函数位置

2018-11-28 22:26
3062
只有一个差3天的PDB跟DLL,无源码
分析了好久,手动解析了PDB文件,还原了所有函数的声明
实际上整个PDB只是因为个别函数优化过,导致地址全部偏移了
可有办法解决???

想想真是个菜逼挑大梁,有pdb 硬生生翻译了2天,出来的代码还有小部分硬是对不上

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2018-11-29 15:30 被hackasn编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 35
活跃值: (1964)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
是在调崩溃的dmp文件 但是pdb没有了?曾经遇到过并想了个简单的办法,找到崩溃附近的代码,找段版本变动不大的汇编然后再到新exe里面的搜这个代码,搜到后结合现在的pdb分析就能定位到实际的源代码位置了
2018-11-28 22:50
0
雪    币: 18
活跃值: (1059)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
3
ida装载有pdb的文件,用某些插件对所有函数进行ida签名,然后ida打开优化过的文件,装载之前生成的ida签名.
2018-11-28 23:15
0
雪    币: 591
活跃值: (126)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
ADMΙN 是在调崩溃的dmp文件 但是pdb没有了?曾经遇到过并想了个简单的办法,找到崩溃附近的代码,找段版本变动不大的汇编然后再到新exe里面的搜这个代码,搜到后结合现在的pdb分析就能定位到实际的源代码位置 ...
这种方式我也试过了,但因为后面的地址全部偏移了,属于能看的那种类型,并且没有源码
2018-11-28 23:58
0
雪    币: 591
活跃值: (126)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
发错了
最后于 2018-11-29 00:06 被hackasn编辑 ,原因:
2018-11-29 00:03
0
雪    币: 591
活跃值: (126)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
猪会被杀掉 ida装载有pdb的文件,用某些插件对所有函数进行ida签名,然后ida打开优化过的文件,装载之前生成的ida签名.
没有匹配的PDB跟DLL,只有一个差3天的PDB跟DLL手动解析还原了函数声明,但是太累了
2018-11-29 00:06
0
雪    币: 12
活跃值: (423)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
我是笨办法,手动看汇编定位代码对比了...
2018-11-29 09:37
0
雪    币: 591
活跃值: (126)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
就没有简单点的方法吗
2018-11-29 15:44
0
游客
登录 | 注册 方可回帖
返回
//