首页
社区
课程
招聘
未解决 [求助]IDA Pro打开的是内存还是硬盘数据?
发表于: 2019-6-16 15:19 3290

未解决 [求助]IDA Pro打开的是内存还是硬盘数据?

2019-6-16 15:19
3290
IDA Pro即然是静态分析,打开的因该是硬盘的数据,为什么感觉像内存的数据?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
感觉他象是在模拟程序在运行,你看他是占用CPU的,而且上面的指针在不停的动。
2019-6-16 15:59
0
雪    币: 3226
活跃值: (399)
能力值: ( LV7,RANK:102 )
在线值:
发帖
回帖
粉丝
3
你感觉错了
2019-6-16 16:03
0
雪    币: 14659
活跃值: (17754)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
4
IDA是可以做动态分析的(只不过没有人这么做),如果你还觉得像是内存数据,就打开ASLR,然后运行程序仔细看地址,肯定不一样的
2019-6-16 16:08
0
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
我OD附加到游戏进程上,代码段的内存和IDA是一样的。
2019-6-16 17:19
1
雪    币: 164
活跃值: (104)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
不严格来说  内存跟硬盘上的 是一模一样的东西  
2019-6-16 18:34
0
雪    币: 43
活跃值: (388)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
7
ida打开后看到的是可自行文件展开后的样子。可自行文件执行的时候也是由操作系统加载展开到内存。
2019-6-16 20:03
0
雪    币: 5514
活跃值: (2254)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
malokch ida打开后看到的是可自行文件展开后的样子。可自行文件执行的时候也是由操作系统加载展开到内存。
那是硬盘上的数据样子,还是加载到内存以后的数据呢?
2019-6-16 20:27
0
雪    币: 43
活跃值: (388)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
9
敏而好学 那是硬盘上的数据样子,还是加载到内存以后的数据呢?
无论是硬盘上的还是内存里,数据的表达形式都是一样的。不同的是数据的组织方式。像可自行文件是以一种紧凑的数据代码结构存储在硬盘上。运行的时候,或者在ida加载做静态分析的时候,需要将硬盘里的紧凑的数据展开成平坦的模式,也就是OD或者ida里看到的形式。如果你要看硬盘上的文件的数据,可以用hex编辑器(winhex,010editor等等)打开查看。可能你还分不清硬盘和内存的本质,建议你去了解“微机原理”和可自行文件格式(PE、ELF等等)
2019-6-16 22:54
1
雪    币: 269
活跃值: (906)
能力值: ( LV12,RANK:345 )
在线值:
发帖
回帖
粉丝
10
1.所谓静态分析指的通过阅读文件信息完成分析,相对的动态分析,指的是通过动态调试跟踪指令的运行来完成分析
2.ida反编译文件时,会根据文件的格式(PE/ELF/MACO)加载文件,也就是像文件被linker加载到内存运行一样,将对应的section映射到内存中。是执行了模拟内存映射的过程,这么做的目的是方便指令中一些虚拟地址相关指令能够正确访问到对应的虚拟地址便于阅读与分析程序。所以也就是像你说的像是内存的数据。
2019-6-17 10:47
2
游客
登录 | 注册 方可回帖
返回
//