windbg ida

1.看so的调用逻辑，如果有loadlibrary的同时有调用某个方法，unidbg模拟执行的时候也要先调用这个方法 2.如果加载so文件的时候，给定的第二个参数是false，加上so文件有字符串加密和混淆的话就会乱码，所以这里最好给为true，ida里，shift+F7，可以看 3.补环境的时... ......

1.在任务管理器导出dmp文件 2.使用WinDbg=>File=>Open Crash Dump...选择导出的dmp文件 3.使用WinDbg=>File=>Symbol File Path... 输入 srv*c:\symbols*http://msdl.microsoft.com/downl ......

6.setJNIload方法只有动态注册方法的时候才执行，静态注册的不用执行 7.keystone，是将汇编语言转成地址的。capstone是将地址转成汇编语言的 8.在线汇编和地址互转的网站：https://armconverter.com/ 9.参数的基本类型，比如int，long等，其他... ......

##IDS文件 使用.ids文件扩展它函数方面的知识。.ids文件通过列举共享库当中包含的每一个导出函数。 ##创建IDS文件 idsutils使用工具用于创建.isd文件。这些实用工具包括两个库解析器。 #使用loadint扩充预定义注释 如果开启了自动注释，就会有 使用loadint使用工具可以 ......

Hex Rays Ida DataRescue IDA Pro Disassembler and Debugger 是最棒的一个静态反编译软件，为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器!IDA Pro Disassembler and Debugger是一款交互式的，可 ......

IDA插件开发1 - Hex-Rays SDK 原文链接：https://zhuanlan.zhihu.com/p/523845098 Overview本系列文章主要由IDA的一些官方文档翻译并整理而成，目的是学习开发IDA插件所需的一些基础知识。IDA插件开发1 - Hex-Rays SDKIDA ......

最近比较忙，就少写两句，直接附上源代码，其中的细节点就不再赘述，如有疑问，请留言。 一共就是实现了两个函数，一个用于搜索特征码 (SearchPattern)，一个用于生成特征码 (GenerateFunctionSignature)。 函数的参数和返回值： 1.SearchPattern 接收一个 ......

安装keypatch 在GitHub安装 下载Keypatch.py复制到插件目录 IDA 7.0\plugins\Keypatch.py 下载安装keystone python模块，通过 pip install keystone-engine 或者，64位系统只需要安装 https://githu ......

IDA版本：7.5 invalid syntax E:\100 Program files\130 CTF\IDAPro\plugins\keypatch.py: invalid syntax (E:/100 Program files/130 CTF/IDAPro/plugins/keypatch ......

#IDA TIL文件 IDA当中所有数据类型和函数原型信息都存储在TIL文件中。 ##加载新的TIL文件 在types中按下insert，选择要加载的til文件，该文件包含的所有结构体定义都被添加到标准结构体列表当中。 ##共享TIL文件 前面提过，idb实际上是一个归档文件用于保存不使用的数据库组 ......

##数据与代码转换 在自动分析阶段，数据字节可能被错误分析为代码字节，反之也是。 对反汇编代码重新格式化：删除当前的格式（代码和数据），右击希望取消定义的项目，在结果上下文菜单中选择undefine，就可以取消函数代码数据的定义。就会如下 然后开始重新反汇编，只需要右击第一个字节在上下文菜单中选择c ......

##基本ida导航 跳转到地址 jump to address对话框 导航历史记录 jump-jump to previous position可以跳转到前一个位置 jump to next position跳转到后一个位置 栈帧 栈帧是在程序运行时栈中分配的内存块，专门用于特定的函数调用。也通过栈 ......

常用快捷键1 1、切换文本视图与图表视图 空格键 2、返回上一个操作地址 ESC 3、搜索地址和符号 G 4、对符号进行重命名 N 5、常规注释 冒号键 6、可重复注释 分号键 7、添加标签 Alt+M 8、查看标签 Ctrl+M 9、查看段的信息 Ctrl+S 10、查看交叉应用 X 11、查看伪 ......

很喜欢这本书第一页上的一句话“站在巨人的肩上”，确实要好好读读这些本好书，不限于实用的工具书，还包括别的读物。 不扯了，今天开始也会写一些这本书的读书笔记，不会像就【加密与解密】那样分章节，而是有什么想写的就会写出来，内容多了就发一篇。 再认识一下这个开始界面吧 New引导选择一个新文件，Go不选文 ......

ida 中的反汇编窗口像visual studio一样显示反编译代码 ......

#通过WinDbg分析转储文件 在调试过程中回遇到一些很奇怪的问题，编译器调试无法正常定位问题，所以需要WinDbg，这篇博客是对照多篇文档的简易的入门整理 ##一、必备知识 ###1.1、下载WinDbg 微软文档 下载 Windows 调试工具 - WinDbg - Windows driver ......

原题链接：https://www.acwing.com/problem/content/4231/ //IDA* #include<iostream> #include<cstring> #include<algorithm> #include<unordered_map> #include<que ......

控制调试目标中断执行按ctrl + c 来中断程序执行 恢复执行g 不带任何参数，只是恢复调试目标的执行，直到下一次发生某个调试事件 如果不希望调试器在初始启动时停止程序的执行，在启动调试器时加 -g 如 ntsd -g a.exe 单步调试代码p stepp 的变种 pt 会一直执行指令，直到遇见 ......

快一年没更新了，累，工作累，各种累，想换个工作，突然发现找不到合适的工作了，哎，自己往火坑里跳，怪不得别人。 import idautils import idaapi import idc print("new ") #ea = idc.get_curline() #print(ea) # def ......

目录： (1) u命令（反汇编） (2) dt命令（查看数据结构） (3) ln命令（查找就近的符号） (4) x命令（显示模块的符号） (5) k命令（显示调用栈） (6) d命令（以数据方式显示） (7) b命令（断点） (8) lm lmvm （显示模块信息） (9) .reload （重加载 ......

关键部分可以通过 ！ ntsdexts 扩展、 ！ critsec 扩展、 ！ .Cs 扩展和 dt (显示类型) 命令显示。 ！ Ntsdexts extension 显示与当前进程相关联的关键部分的列表。 如果使用了 -v 选项，将显示所有关键部分。 以下是示例： 0:000> !locks C ......

User32.dll,kernel32.dll,shell32.dll,gdi32.dll,rpcrt4.dll,comctl32.dll,advapi32.dll,version.dll等dll代表了Win32 API的基本提供者；Win32 API中的所有调用最终都转向了ntdll.dll，再由 ......

//寻找lsass的EPROCESS !process 0 0 lsass.exe //切换进程空间到lsass .process /i ffffbc02f3760080 ;g //检查当前进程 !thread -p -1 0 //刷新kd维护的用户态加载模块列表使之匹配当前进程 .reload / ......

# -*- coding: utf-8 -*- import idaapi import idc import re import ida_dbg import ida_idd from idaapi import * from collections import OrderedDict impo ......

限定下限的深度优先搜索 由于不再采用动态规划的方法，节省内存 最大的优点：找到最短路径情况下，需要最小内存 但是是时间换空间，不会记得走过一条路 IDA-Star(IDA*) Algorithm in general « Insight into programming algorithms (wo ......