在分析一个软件时,发现有些代码时动态从远端加载的,导入函数都是动态加载的,所以没办法静态分析,只能dump出内存来分析。可是新的问题是这些动态的系统CALL如何帮助IDA分析出正确的CALL名字呢?
图一是ida界面,这一大堆的其他系统DLL CALL地址如何能快速方便的从图二提取出来呢?否则ida的分析代码时不知道这些CALL到底是调用了哪些方法。
例如:7619110C => kernel32.GetTickCount76194442 => kernel32.VirutalQuery
图一:
图二:
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
。
MSA_Li 实在不行可以写个ida的python插件,循环在每个地址上加函数名注释,或者改别的 我一直觉得od和IDA动态联调比较方便,用插件把他俩连起来,可以区段数据同步