IDA Proのメモリアドレスに外部参照を使用することはできますか?


0

言ってやるが、私は次のように分解している場合:[eax+0xFCA]のバイトが参照されていることである他にどこ

enter image description here

をどうやって見つけるのですか? IDAのxrefコマンドを使用することはできませんが、xreffs:18hに送信すると、結果が非​​常に多くなります。

PS。私はユーザモードでデバッガとしてWinDbgを使ってkernel32.dllをステップ実行しながらIDA Proを逆アセンブラとして使用しています。上のスクリーンショットでは、EIP(ブレークポイント)は現在、関心のあるオペコードの744E78D6にあります。

2

IDAの外部参照機能は、静的参照でのみ機能します。コードを静的に分析して参照を検出します。外部参照機能を使用して、アドレスに対する動的または実行時参照を見つけることはできません。

代わりに、メモリブレークポイント機能を使用すると、メモリアドレスにアクセスするたびにブレークポイントにIDAのデバッグインターフェイス(またはその他のデバッガ)がブレークポイントする必要があります。メモリブレークポイントには、パフォーマンス上のペナルティが発生したり、アンチデバッグ技術によって検出されたりするなどのいくつかの注意点があります。ハードウェアブレークポイントは、同じ目的で使用することもできますが、アンチデバッグ技術によって検出することは困難です。