IDAはimagebaseで解析を開始できますか?


0

win32実行ファイルのイメージベースが0x400000であるにもかかわらず、Ida Proは0x401000でのみ解析を開始することに気付きました。その前に何があったのですか?IDAの設定を変更してイメージベースで分析を開始するにはどうすればいいですか?ありがとうございました。

  0

一般的には何も前にありませんそれ。あなたは "400000h"の前に何があるのか​​を尋ねるかもしれません。コード*セクション*は+ 1000hで始まります。 30 1月. 152015-01-30 08:53:30

5

PE実行可能ファイルは、少しのDOS exeスタブ(独自の小さなヘッダー付き)、IMAGE_NT_HEADERSという名前の構造体、セクションテーブルからなるヘッダーブロックで始まります。通常のPEには32ビット/ 64ビットの実行可能コードがないので、 "手動ロード"にチェックを入れない限り、IDAはヘッダブロックをロードしません。

関連リソース:

  0

ありがとうございます! 30 1月. 152015-01-30 16:39:41