我正在玩 IDA 的演示,我正在尝试对程序进行一些逆向工程,以找出它使用的其中一个文件的结构。我的最终目标是能够直接从我自己的程序中读取该文件。
使用Process Monitor我能够找到调用kernel32_ReadFile. 我想知道的是如何在变量调用之前找出hFile变量指向的内容ReadFile
在调试模式下,我一直在探索菜单,但在 IDA 中找不到任何可以查找与文件句柄关联的文件的信息的地方。
如何将句柄映射到真实文件?
问问题
305 次
2 回答
1
此 MSDN 页面描述了从文件句柄获取文件名的方法:
http://msdn.microsoft.com/en-us/library/windows/desktop/aa366789(v=vs.85).aspx
那是你要找的信息吗?我不确定为什么您不能直接在 Process Monitor 中看到文件名。
于 2012-07-17T19:24:47.357 回答
0
我会设置一个断点CreateFileA并CreateFileW查看正在打开哪些文件。然后,您可以将返回的HANDLE值与后续ReadFile调用相匹配。
于 2012-07-17T19:42:55.703 回答