IDA Pro分析dll在exe中的表现
尝试分析隐式加载和显式加载的dll在exe中进行反汇编时的表现。
1. 测试条件
(1)动态库 testdll1 导出函数 int add(int, int) 和 int add2(int, int)
1 #pragma once
2
3 #ifdef MY_LIB_EXPORT
4 #define MY_LIB __declspec(dllexport)
5 #else
6 #define MY_LIB __declspec(dllimport)
7 #endif
8
9
10 #ifdef __cplusplus
11 extern "C" {
12 #endif
13
14
15 MY_LIB int __stdcall add(int a, int b);
16 MY_LIB int __stdcall add2(int a, int b);
17
18
19 #ifdef __cplusplus
20 }
21 #endif
(2)动态库 testdll2 导出函数 int sub(int, int)
1 #pragma once
2
3 #ifdef MY_LIB_EXPORT
4 #define MY_LIB __declspec(dllexport)
5 #else
6 #define MY_LIB __declspec(dllimport)
7 #endif
8
9
10 #ifdef __cplusplus
11 extern "C" {
12 #endif
13
14
15 MY_LIB int __stdcall add(int a, int b);
16
17 #ifdef __cplusplus
18 }
19 #endif
(3)测试进程
testdll1 隐式加载到测试进程
#pragma comment(lib, "..\\x64\\debug\\testdll1.lib")
int a = 100;
int b = 200;
int c = add(a, b);
testdll2 显式加载到测试进程
1 HMODULE hMod = LoadLibrary(TEXT("..\\x64\\debug\\testdll2.dll"));
2 sub_t func = (sub_t)GetProcAddress(hMod, "sub");
3 if (!func)
4 {
5 FreeLibrary(hMod);
6 hMod = NULL;
7 }
8 int d = func(a, b);
2、用IDA Pro打开测试进程
打开后,观察测试进程的导入表如下:
在add函数调用处下断点
在sub函数调用处下断点
启动调试,add调用处按下F7进入(step into),如下所示:
尝试按下几次快捷键d后没有看到汇编代码。
在sub函数调用处按下F7进入,发现并不能进入函数内部。
测试情况如上。
IDA Pro分析dll在exe中的表现的更多相关文章
- 恶意代码分析实战四:IDA Pro神器的使用
目录 恶意代码分析实战四:IDA Pro神器的使用 实验: 题目1:利用IDA Pro分析dll的入口点并显示地址 空格切换文本视图: 带地址显示图形界面 题目2:IDA Pro导入表窗口 题目3:交 ...
- C#中用ILMerge合并DLL和exe文件成一个exe文件或者DLL
ILMerge是一个将多个.NET程序集合并到一个程序集中的实用程序.它既可以作为 开源使用,也可以作为NuGet包使用. 如果您在使用它时遇到任何问题,请与我们联系.(mbarnett _at_ ...
- IDA Pro - 如何得到比较清楚的逆向伪代码
原文地址:Question about disassembler 简介 这篇文章介绍了如何在不使用插件的IDA Hex-Rays如何得到比较清晰的伪代码.IDA Hex-Rays功能很强大,只要你提供 ...
- 路由器逆向分析------在Linux上安装IDA Pro
本文博客地址:http://blog.csdn.net/qq1084283172/article/details/69665905 01.在Linux系统上安装Linux版本的IDA Pro Linu ...
- IDA Pro 在CSAPP lab2中的使用
在做lab2的时候,偶然的情况下,发现了IDA pro这样一个反汇编工具,总的来说对于lab2这样的小实验读懂代码的大体功能是有作用的,但对于想要具体明白某一条指令的执行过程,又显得不足,到最后还是需 ...
- 其原因可能是堆被损坏,这说明**.exe中或它加载的任何DLL中有Bug
最近在写一个写日志文件的线程时,调用了HeapAlloc/HeapFree 申请/释放堆缓冲内存.调用HeapFree释放有个条件就是,日志的空闲缓冲队列中内存块超过100个.在测试的时候,发现调用H ...
- 中触发一个断点 其原因可能是堆被损坏,这说明 ***.exe 中或它所加载的任何 DLL 中有 Bug
软件中使用了DevComponents.DotNetBar2.dll MessageBoxEx.Show("ddd");运行到这句出现这个错误 : 中触发一个断点 其原因可能是堆被 ...
- 其原因可能是堆被损坏,这也说明 xxx.exe 中或它所加载的任何 DLL 中有 bug
1.代码如下: string src ="abcdabcd"; char* dst = new char[8]; strcpy(dst,src.c_str()); delete[] ...
- dll中使用exe中的变量
注意:输出目录为:Result共享目录 1.exe项目: // EXE.cpp : 定义控制台应用程序的入口点.// #include "stdafx.h" extern" ...
- 皮肤和DLL和图片等项目文件完全整合到exe中
C#开发的程序原生界面实在是太丑了,自己又没有美化天赋,所以只能使用皮肤控件了,网上找到了IrisSkin2,包含一个.dll文件和若干ssk后缀的皮肤文件,代码其实很简单的.但是后来发现个问题,就是 ...
随机推荐
- 【AIGC】Embedding与LLM:token长度限制困局下,长文本LLM应用的暂缓之计
[详细内容首发于微信公众号(Hobbes View)] 什么是Embedding? Embedding是一种多维向量数组,由一系列数字组成,可以代表任何事物,如文本.音乐.视频等.在这里我们将重点关注 ...
- .NET Core:架构、特性和优势详解
.NET Core:架构.特性和优势详解 在软件开发领域,保持领先地位至关重要.随着技术以指数级的速度发展,开发人员不断寻求高效.可扩展且多功能的解决方案来应对现代挑战..NET Core 就是这样一 ...
- Solution -「LOJ #6538」烷基计数 加强版 加强版
\(\mathscr{Description}\) Link. 求含 \(n\) 个结点.无标号有根.结点儿子数量不超过 \(3\) 的树的数量.答案模 \(998244353\). \( ...
- c# 设置桌面壁纸: 只在win10 上测试了,不知道其它系统如何
c# 设置桌面壁纸: 只在win10 上测试了,不知道其它系统如何. using System; using System.Collections.Generic; using System.Comp ...
- CAS实现原理
一.什么是CAS? 在计算机科学中,比较和交换(Conmpare And Swap)是用于实现多线程同步的原子指令. 它将内存位置的内容与给定值进行比较,只有在相同的情况下,将该内存位置的内容修改为新 ...
- java代码之美(3)
Map中的computeIfAbsent方法 Map接口的实现类如HashMap,ConcurrentHashMap,HashTable等继承了此方法,通过此方法可以在特定需求下,让你的代码更加简洁. ...
- STL 容器操作
vector set转化为vector:vec.assign(set.begin(), set.end()) map 1. map默认从小到达排序,想要从大到小,可以: map<string, ...
- 自定义快捷命令程序(VC++加批处理)
一 概述 在看<从小工到专家-程序员修炼之道>时,看到建议使用Shell,很有感触.在很多时候,通过键盘操作,比鼠标的确会块很多,如果能用好shell命令(或批处理命令) ,的确能节省 ...
- 萌新赛 sprintf漏洞
首先是个.git源码源码泄露,用githack回复一下源码 源码 <?php $pass=sprintf("and pass='%s'",addslashes($_GET[' ...
- 9. SpringCloud Alibaba Sentinel 流量控制、熔断降级、系统负载,热点规则的部署设置讲解
9. SpringCloud Alibaba Sentinel 流量控制.熔断降级.系统负载,热点规则的部署设置讲解 @ 目录 9. SpringCloud Alibaba Sentinel 流量控制 ...