IDA调试技巧（妥妥的干货分享）

IDA自动生成假名字。他们用于表示子函数，程序地址和数据。根据不同的类型和值假名字有不同前缀

先切换到graph view，然后在菜单上的“Options”、“General”里勾选

点击ok，即可看到效果

可以看到，多了前面的地址，这样就不用再graph view和text view之间来回切换了。

刚开始进行逆向分析的时候，我们就接触到这个公式

我们在每次下断点的时候，都是通过先手工在IDA里查看的偏移前模块基地址，再手工在LLDB里查看ASLR偏移，最后手工在计算器里将两者相加的方式来计算偏移后模块基地址的，虽然结果可以保证100%正确，但 *** 作流程稍有些复杂，特别是每次计算偏移后模块基地址，每次copy，copy，然后add，这样真的超级烦超级烦有木有？那么，有没有简单的方法呢？

接下来，我们一起看看，如何才能只手工 *** 作一次，就可以搞定所有断点的地址。那就是让IDA直接显示计算好的偏移后模块基地址。

这里ASLR偏移是0x00000000000a0000。

首先将鼠标光标点击到IDA右边的界面，这样才会有我们需要设置的选项。

在菜单上的“Edit”、“Segments”、“Rebase program”里将“Value”的值加上TargetApp的ASLR偏移，

我们可以看到起始的地址是0x100000000

加上ASLR偏移地址

点击ok，这里需要等待一会。完成之后现在IDA里面的地址就是我们想要的偏移后模块基地址了，就可以直接拿来用了。

我们走起一个试验一下：

我们在右边IDA view里搜索方法名onClickButtonPressed，对这个方法进行下断点

搜索匹配到：

然后我们在调试的时候lldb下断点

ok，可以看到下面断点的方法就是我们搜索的方法名。

第一步：首先确认已经彻底清除了病毒的主程序

确认方法：

1。确认杀毒软件正常工作，没有异常的自动关闭、过多cpu占用现象等等。

2。升级杀毒软件到最新版本杀毒。

3。杀毒后任务管理器中无明显的异常进程。没有可疑名称的加载项。

4。控制面板内点计划任务，删掉可疑的任务。

第二步：去除加载项

开始菜单-运行-输入msconfig回车

在里边的启动栏里把dll前面的勾去掉就行了

1、开始——运行——msconfig——启动——把加载项dll的那个勾勾去掉。 重启电脑,通常到这就可以了,如果还d出来再进行第二步

2、开始——运行——regedit 在下面的位置删除相应键值： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

说明：加载问题大多是杀毒残留，就是杀毒后，病毒被删除，但注册表里相关加载设置还在，所以第一步要确认确实已经杀掉了病毒。如果病毒没有清除，那第二步就没有意义。解决方法就是上述方法。

你要先获取模块DLL的句柄

你可以百度下载一个 取模块句柄的易语言模块 后缀是EC的

然后再易语言左边的程序栏里面————模块引用表右键导入添加模块引用，把你刚刚下载的模块导入进去

然后写一个格式类似这样的

进程句柄 ＝ 取模块句柄 (“GGWAR3dll”)

基址 ＝ 内存_读整数型 (进程ID, 进程句柄 ＋ 十六到十 (“1C1160”))

模块地址我已经打包好了panlanzoucom/i0unjvi  复制后浏览器打开就行

以上就是关于IDA调试技巧（妥妥的干货分享）全部的内容，包括:IDA调试技巧（妥妥的干货分享）、如何找出当前进程中指定模块(DLL)的内存地址、易语言 游戏基址=模块dll+偏移量 应该怎么才能读取出来等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！