0

我正在使用 CE 查看程序的程序集,我很容易得到所需的地址:00B2356E. 这是来自 esp, 8.

CE 视图

当我进入 IDA 时(在完全相同的区域内)

.text:0044354B loc_44354B:                             ; CODE XREF: sub_4430A0+48Ej
.text:0044354B                 mov     ecx, 0FAh
.text:00443550                 mov     esi, offset buf
.text:00443555                 lea     edi, [ebp+var_3FC]
.text:0044355B                 rep movsd
.text:0044355D                 push    offset aVersion ; "Version"
.text:00443562                 lea     eax, [ebp+var_3FC]
.text:00443568                 push    eax
.text:00443569                 call    sub_469090
.text:0044356E                 add     esp, 8

00B2356E我在 IDA 中找不到地址。我怎么能这样做?

当我减去并得到那个 ID:0x0072356E

我被放在这里

.data:0072356E db    ? ;
4

1 回答 1

0

如果您要反汇编的程序使用动态基址(也称为 ASLR),作弊引擎将向您显示“真实”地址,但是 IDA 将其显示为 0x400000 是基址。要到达您在 IDA 中寻找的内存点(在本例中0x00B2356E),请执行以下操作:0x00B2356E - Process Base + 0x400000然后在 IDA 中跳转到该地址。

于 2017-05-08T15:56:28.393 回答