因此,如果我在 IDA 上加载 EXE,则不同位置存在偏移量和内存地址。
当我启动该 EXE 并在变量后的作弊引擎中看到它是否与加载的 IDA 中的地址相同?还是吉德拉?
您在静态分析 (IDA( 中看到的地址相对于 PE 标头中的首选基址。如果图像未在其首选地址加载,则它与您看到的静态地址不匹配。但是,您只需计算动态内存中的相对虚拟地址(地址 - base_address(,然后将其添加到首选基址即可获得您在 IDA 中看到的内容。当然,这是假设文件没有打包,在这种情况下,静态分析可能看起来只是随机数据,直到在入口点的内存中解压缩部分。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium