PE文件--C++--MFC---IDA--逆向分析--x32dbg

  在逆向分析中，PE静态文件是基础，内含有完整的二进制代码，程序执行逻辑和数据。如果含有系统api信息，将更有利于分析代码的逻辑。IDA软件就具有这样的优势。而x32dbg具有强大的动态跟踪分析能力，而结合两者的关键在于虚拟地址的对齐。一般修改IDA中的静态基址。Edit —> Segment ----- Rebase Program : 设置基地址；基址从x32dbg中获取。
  1.x32dbg图标代码分析–流程图–快捷键（G）

  按shift+enter返回。

  2.IDA查找MFC对话框初始化函数，在IDA中查找对话框初始化函数。如下图所示：

  在x32dbg中，对应的模块如下图所示：

  在查找初始化函数时，可以先定位初始化函数。然后在虚函数中，有调用原始函数，所以原始函数返回，即为目标函数所在的位置。如下图所示：

  3.查找执行位置函数，如果在x32dbg中找到一个地址，可以在IDA中查看，这个函数的代码，如下图所示：

  4.交叉参考
  通过交叉参考(XREF)可以知道指令代码互相调用的关系.如下:
  .text:00401165 loc_401165: ;CODE XREF:sub_401120+B|j
  CODE XREF:sub_401120+B|j 表示该调用地址是401120,
  “j”表示跳转(jump)
  “o”表示偏移值(offset)
  “p”表示子程序(procedure)
  双击这里或按回车键可以跳到调用该处的地方

  欢迎光临知了软件开发网络平台，本公司定制开发各类软件，主要方向为桌面专业软件开发和插件定制开发，桌面软件主要包括文字图形识别类软件，信息管理类软件，3D打印类软件，视频类软件以及其它涉及专业的各类图形图像处理软件。插件包含AE插件，AI插件，PS插件，PDF插件，3DMAX插件以及Word，Excel等Office插件开发。详情请咨询，微信QQ:312117271，手机:18928899728，邮箱: [email protected]
公司网址:http://www.zhiliaos.com