Est-il possible d'utiliser un xréf sur l'adresse mémoire dans IDA Pro?


0

Dites, si je le démontage suivant:

enter image description here

Comment puis-je savoir où d'autre est que l'octet à [eax+0xFCA] est référencé? Je n'arrive pas à utiliser la commande xref de l'IDA, mais faire xref sur fs:18h me donne trop de résultats.

PS. J'utilise IDA Pro comme un désassembleur, tout en passant par kernel32.dll avec WinDbg en tant que débogueur dans un mode utilisateur. Dans la capture d'écran ci-dessus le EIP (point d'arrêt) est actuellement à l'opcode 744E78D6 d'intérêt.

2

La fonctionnalité Xréf de l'IDA fonctionne uniquement pour les références statiques. Les références qu'il détecte en analysant statiquement le code. Il ne trouve aucune référence dynamique ou d'exécution aux adresses utilisant la fonctionnalité Xréf. Au lieu de cela, vous devez utiliser la fonctionnalité de point de rupture de mémoire L'interface de débogage de l'IDA a (ou n'importe quel autre débogueur, d'ailleurs) au point de rupture chaque fois qu'une adresse de mémoire est accédée. Soyez avisé que les points de rupture de la mémoire comportent plusieurs mises en garde, comme l'imposition d'une pénalité de performance notable et la détection par les techniques anti-débogage. Les points d'arrêt matériels peuvent également être utilisés dans le même but mais sont plus difficiles à détecter par des techniques anti-débogage.