比如 调用 WinHttpOpen

mov     dword ptr [rsp+318h+var_2F8], 0 ; _QWORD
xor     edx, edx        ; _QWORD
xor     r8d, r8d        ; _QWORD
xor     r9d, r9d        ; _QWORD
mov     rcx, rdi        ; _QWORD
call    cs:WinHttpOpen
mov     cs:qword_1CDE0, rax
mov     dword ptr [rsp+318h+var_2F8], 927C0h ; _QWORD


; __int64 (__fastcall *WinHttpOpen)(_QWORD, _QWORD, _QWORD, _QWORD, _QWORD)
seg000:000000000001D5A8 WinHttpOpen     dq 7FEFA413428h         ; DATA XREF: sub_C1C0+52↑r

单纯函数名称感觉可以用脚本配合调试器按顺序提取一下,再用脚本还原到ida.
但是只改名称, 这些api不能识别函数原型,api参数返回地址都依然没有对应.
感觉添加头文件,pdb好像都不太对...

• 只尝试了添加头文件,以及改compiler中include,但是依赖的相关头文件打开错误

Error C:\Program Files (x86)\Windows Kits\10\Include\10.0.17763.0\um\WinSock2.h,20: Can't open include file 'winapifamily.h'

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！