#memory #ida #reversing #yara
Вопрос:
Я пытаюсь отменить один исполняемый файл, который содержит проверки против виртуальных машин, когда я запускаю правила Yara для этого файла, я нашел некоторые инструкции со следующим адресом,
Вывод правила ЯРЫ:
0x2c432:$d1: KERNEL32.dll
0x2c420:$c2: IsDebuggerPresent
0x2a2a0:$f6: windbg.exe
в принципе, когда я открываю этот исполняемый файл в IDA, я не могу найти эту инструкцию, как найти или рассчитать 0x2c420 адрес в IDA?
Вид IDA:
.text:00402BB0 argc= dword ptr 4
.text:00402BB0 argv= dword ptr 8
.text:00402BB0 envp= dword ptr 0Ch
Комментарии:
1. Я бы предположил, что вывод Yara показывает адрес в двоичном файле, но если вы загружаете файл в IDA, IDA пытается показать вам файл так, как он был бы загружен в память во время работы. Вам нужно, по крайней мере, добавить базовый адрес IDA (где программа запускается в IDA).