Fråga:
Hur vet jag vilken modul jag är för närvarande i? (EIP / RIP-pekare)
c00000fd
2017-01-04 13:33:37 UTC
view on stackexchange narkive permalink

Jag lär mig för närvarande IDA Pro , som är inställd med WinDbg debugger. Så säg, jag utlöste en brytpunkt och började gå in och ut ur funktioner. Jag föredrar att arbeta i läget "Grafvy":

IDA debugger view in graph mode

Vad är det enklaste sättet att se det modulnamn jag är för närvarande felsökning? Eller där EIP eller RIP registrerar pekar på. I skärmdumpen ovan adress till 0x759B86B0 .

Ett svar:
NirIzr
2017-01-04 14:13:30 UTC
view on stackexchange narkive permalink
  1. Det övre högra fönstret, registerfönstret, visar var varje register pekar på och inkluderar modulnamnet på det finns ett. EIP visas inte på bilden men om du rullar ner eller ändrar storlek ser du den.
  2. Stapeln visar en adress i samma förskjutning som den aktuella EIP pekar på någonstans i user32 , så det är nog det. ebx pekar också på samma modul.
  3. IDB-segmentet har rätt namn, så att du alltid kan öppna segmentvyn och se vilket segment som innehåller den aktuella EIP. Dessutom kommer modulnamnet framför adressen att visa adressen (genom att växla till textvyn eller konfigurera grafvyn för att visa adresser från Alternativ-> Grafvy).
Upptäckte också att om jag byter sväng från "Grafvy" tillbaka till "Textvy" (tillgängligt som ett snabbmenykommando efter ett högerklick på "Felsökningsfönstret"), visar monteringskoden modulnamn till vänster . Exempel: "USER32: instruktion"
Bra poäng. Redigerade detta i. Tänk också på att du kan konfigurera IDA så att de också listar adresser i grafvy istället för att byta till textvy.


Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 3.0-licensen som det distribueras under.
Loading...