ida动态调试dll
前言
有时候会发现有的dll都是动态获取API,IDA静态分析看不了,因此利用IDA动态调试dll,当API获取完毕后保存,便于分析。
一、动态调试dll
在debug窗口选定windows debug后,在Debugger菜单栏下的Process options里填写参数
第一行填写加载dll的exe路径,除了rundll32.exe,有文章说od下的loaddll.exe也是可以的,但测试没成功。
第二行填写要调试的dll文件路径
第三行为dll文件所在目录
第四行参数,第一个填写你要调试的dll文件名,第二个参数填写入口点名称或者dll导出函数的名称(如有导出函数hello,则填写1.dll,hello)
运行后ida就会运行至要调试函数的断点处。
文章来源:https://www.toymoban.com/news/detail-443370.html
二、利用插件Universal Unpacker Manual Reconstruct
在Edit菜单下的Plugins可以找到该插件
该插件看雪有文章详细讲了怎么用,大致就是在动态填充了IAT后,将系统API的地址解析称API,然后利用该插件保存数据,这样静态分析可以看到调用的API。
第一行 入口点
第二行 代码段起始地址
第三行 代码段结束地址
第四行 IAT起始地址
第五行 IAT结束地址文章来源地址https://www.toymoban.com/news/detail-443370.html
到了这里,关于ida动态调试dll的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
