IDA“调用偏移”

Question

我已经使用LordPE从内存中转储了一个动态链接库，到目前为止还不错，但IDA显示的一些函数如下所示：

call    off_11CAE08

在内存地址11CAE08(.data部分)，我们有01058530(.text部分)，所以我希望IDA能够显示call sub_01058530，那么，有没有任何方法或脚本能够更改和修复所有行的这个问题？

Answer 1

这是一个相对调用，您需要解析该地址。你可以通过查看这个库来静态地做到这一点，也可以通过使用一个名为Ablation的工具来动态地做到这一点，你可以通过在black hat上听作者的talk来学习如何使用它。为了做到这一点，您需要运行进程/dll并进行消融。

Answer 2

假设您有像这样的1-dref函数，下面是一个使用sark的脚本

from sark import *
from idc import *
from idaapi import *
from idautils import *
import struct
text_start =xxx
text_end= xxxx
data_start=xxx
data_end=xxx

for line in sark.lines(text_start, text_end):
    for ref in line.xrefs_to:
        if ref.type.is_call:
            if data_start <= ref.to <= data_end:
                addr = GetManyBytes(ref.to, 4)
                addr, _ = struct.unpack("<I", addr)
                MakeName(ref.to, "func_ptr_"+str(addr))

附言:我是用手机写的，所以语法可能不准确。