这是一个比较简单的问题,但是思想走了一点弯路,觉得有必要记录一下.
首先需要厘清几个概念:
文件偏移地址(File Offset)
装载地址 (Image Base)
虚拟内存地址(VA)
相对虚拟地址(RVA)
其中相关概念字面理解即可,需要了解一个关系是:
VA = Image Base + RVA
虽然在IDA与windbg地址对应中并不涉及以上换算,但是对这几个概念的了解还是比较必要。
windbg运行后,使用lm命令可以获得模块的初始地址:
下图是使用windbg加载了一个二进制文件后使用lm命令显示模块其实地址为0x00400000
image.png
对于IDA显示的地址而言,并不是想当然的文件地址,而是“内存地址”,但是存在地址随机化的可能性,所以又可能不是真正的内存地址,为了将windbg中显示地址与IDA地址对应起来,只需要在IDA打开文件时选中Manual load选项,并在后续输入正确的装载地址即可,在本例中为0x00400000.
image.png
这是一个比较简单的问题,但是思想走了一点弯路,觉得有必要记录一下.首先需要厘清几个概念: 文件偏移地址(File ...
1, 如何将IDA中地址与x64dbg 地址对应起来? 在x64dbg中,点开 “内存布局” 标签页,查看e...
完事或者使用IDA配置当前下载地址
下载地址:【wq1.net】[IDA.Pro.权威指南].The.Ida.Pro.Book[www.rejoice...
ARP与RARP ARP协议: 地址解析协议,实现从IP地址到MAC地址的映射,询问目标IP对应的MAC地址。 A...
调试小技巧image lookup --address 0x0000000106d94cbe 寻找栈地址对应的代...
融云登录账号:771764208@qq.com 调试地址:调试地址 Server开发文档地址:Server开发文档...
1. 概述 下边通过代码演示: 通过打印 i 的地址,然后用 debug的方式调试,用于验证 根据 变量i的...
so逆向 unidbg能跑了,接下就是结合ida进行逆向。 先跳转到函数的地址0xaa73c 很显然,so经过了混...
什么是Socket 简单来说就是IP地址与端口的结合协议(RFC 739) 一种地址与端口的结合描述协议 TCP/...
本文标题:动静结合调试——IDA地址与windbg地址对应
本文链接:https://www.haomeiwen.com/subject/pkbwkftx.html
网友评论