是否可以在IDA Pro的内存地址上使用外部参照?


0

说,如果我有以下拆解:

enter image description here

如何找出别人在[eax+0xFCA]该字节被引用?我似乎无法使用IDA的xref命令,但在fs:18h上做xref给我的结果太多了。

PS。我使用IDA Pro作为反汇编程序,同时在WinDbg中以kernel32.dll作为调试器在用户模式下跳过。在上面的截图中,EIP(断点)目前位于744E78D6操作码中。

2

IDA的xref功能仅适用于静态引用。它通过静态分析代码来检测引用。它无法使用外部参照功能找到任何对地址的动态或运行时引用。

相反,您需要使用内存断点功能IDA的调试接口has(或任何其他调试程序)可以在任何时间访问内存地址时断点。建议内存断点有几个警告,例如引起显着的性能损失并且可以通过反调试技术检测到。硬件断点也可用于相同的目的,但难以通过反调试技术检测到。