我在 IDA 或 dbg 或 olly 上看到的内存是否与我在 RAM 上实时加载的内存相同?
Is the memory i see on IDA or dbg or olly the same as i have loaded live on RAM?
因此,如果我在 IDA 上加载一个 EXE,则在不同的位置会有偏移量和内存地址。
当我启动该 EXE 并在作弊引擎中看到变量后的地址是否与 IDA 中加载的地址相同?或者例如 ghidra?
您在静态分析 (IDA) 中看到的地址是相对于 PE header 中的 首选基址 而言的。如果图像没有加载到它的首选地址,那么它将与您看到的静态地址不匹配。但是,您可以只计算动态内存中的相对虚拟地址(地址 - base_address),然后将其添加到首选基地址以获得您在 IDA 中看到的内容。当然,这是假设文件没有打包,在这种情况下,静态分析可能看起来只是随机数据,直到部分在内存中的入口点被解包。
因此,如果我在 IDA 上加载一个 EXE,则在不同的位置会有偏移量和内存地址。
当我启动该 EXE 并在作弊引擎中看到变量后的地址是否与 IDA 中加载的地址相同?或者例如 ghidra?
您在静态分析 (IDA) 中看到的地址是相对于 PE header 中的 首选基址 而言的。如果图像没有加载到它的首选地址,那么它将与您看到的静态地址不匹配。但是,您可以只计算动态内存中的相对虚拟地址(地址 - base_address),然后将其添加到首选基地址以获得您在 IDA 中看到的内容。当然,这是假设文件没有打包,在这种情况下,静态分析可能看起来只是随机数据,直到部分在内存中的入口点被解包。