Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
因此,如果我在 IDA 上加载 EXE,则会在不同位置存在偏移量和内存地址。
当我启动那个 EXE 并在作弊引擎中看到一个变量后,它的地址是否与加载的 IDA 中的地址相同?或者例如 ghidra?
您在静态分析 (IDA) 中看到的地址与 PE 标头中的首选基地址相关。如果图像未在其首选地址加载,则它将与您看到的静态地址不匹配。但是,您可以只计算动态内存中的相对虚拟地址(地址 - base_address),然后将其添加到首选基地址以获得您在 IDA 中看到的内容。这是假设文件当然没有打包,在这种情况下,静态分析可能看起来只是随机数据,直到在入口点将部分解压缩到内存中。