如何让IDA在imagebase开始分析?


0

我注意到,尽管win32可执行文件的imagebase为0x400000,但Ida Pro仅在0x401000开始分析。之前是什么,以及如何更改IDA的设置以在图像库中开始分析?谢谢。

  0

通常没有什么前那。你可能会问“400000h'之前的情况”。代码*部分*从+ 1000h开始。 30 1月. 152015-01-30 08:53:30

5

PE可执行文件以一个标题块开始,该标题块由一个小DOS DOS stub(带有自己的小标题),一个名为IMAGE_NT_HEADERS的结构和一个节表组成。正常PE没有32位/ 64位可执行代码,因此IDA不会加载标题块,除非选中“手动加载”。

相关资源:

  0

我看到谢谢你! 30 1月. 152015-01-30 16:39:41