-
-
未解决 [求助]IDA 工具关于局部变量值显示不一致的几个问题
-
2020-3-2 18:02
-
因为已经影响到正常分析了,所以就跑来论坛问问大佬们,这到底是 IDA 的 bug 还是我的操作问题
我的 IDA 版本号是 7.2
我发现的第一个问题是 local windows debugger 调试的时候, IDA View 里局部变量的值显示异常
var_10 的值是 -0x10 rbp = 0x000000000014FE00
比如在这里, mov [rbp+0xe0+var_10],0xf 处 rbp+0xe0+var_10 的值明明应该是 =
rbp+0xe0-0x10 = rbp+0xd0 = 0x000000000014FE00 + 0xd0 = 0x14fed0
但是在图1中可以看到 IDA 在 IDA View 这个窗口中对这个地址识别成了 0x4E5ED0 ,并且如果我双击
mov [rbp+0xe0+var_10],0xf 这条指令,进的到的位置也是
0x4E5ED0
但是我们看右边的 F5 的结果,这条语句对应的 v63 实际上应该是 rbp+0xd0 也就是
0x14fed0 ,此时如果我双击右边伪代码窗口的 v63 进的就是正确的局部变量的位置(此时这条语句还没有被执行所以 0x14FED0 的值还是 0)
除此之外,如果我把鼠标移动到 v63 变量处悬停,显示的值也是不正确的
居然显示成了 0x30006100620065ui64
下一个我发现的问题就在 locals 窗口处
我发现这个值与 locals 窗口里的 v63 值是对应的
这个 locals 窗口显示的所有局部变量的值从 rcx 开始就全部出现了不一致的情况
比如这个 v63 变量在 locals 窗口里居然被定位在 rbp-0xF0 处,可在伪代码中看到的明明是 rbp+0xD0
以上,我所不理解的所有的不一致的问题,望知道的大佬能够解答一下!万分感谢!
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
