我正在尝试反转一个包含反 VM 检查的 exe 文件,当我对该文件运行 Yara 规则时,我发现了一些带有以下地址的指令,
YARA 规则输出:
0x2c432:$d1: KERNEL32.dll
0x2c420:$c2: IsDebuggerPresent
0x2a2a0:$f6: windbg.exe
基本上,当我在 IDA 中打开这个 exe 文件时,我无法找到该指令的位置,如何0x2c420在 IDA 中查找或计算地址?
国际开发协会观点:
.text:00402BB0 argc= dword ptr 4
.text:00402BB0 argv= dword ptr 8
.text:00402BB0 envp= dword ptr 0Ch