「神器」調試好幫手:神算子偏移計算工具
by anhkgg
2018年12月11日
0x01.寫在前面
做逆向調試的小夥伴應該都遇到過這種問題:在同時使用兩大神器OD(或Windbg)和IDA逆向某程序時,調試中模塊基址經常變化,而在IDA中默認爲0x400000(或0x10000000),所以在調試到某個點想到IDA整體對比分析一下的時候,發現計算地址真的好麻煩,特別時在經常需要計算的時候,這個問題尤爲明顯。
通常步驟是:
- 打開calc.exe,切換到程序員項
- 複製當前地址0xD60F00D,複製模塊基址0x5200000,算出偏移0x840f00d
- 複製IDA中對應模塊基址0x10000000,加上剛纔的偏移得到對應在IDA中地址,g跳轉到對應地址
- 下次又要算一次,重複複製基址,減偏移,加偏移,如此往復。
煩不煩,累不累?不要急,上帝給了一束光,它來了!
0x02. 神奇工具
爲了解決上面的問題,我其實思量了很久要寫個小工具的,但總是耽擱着。終於,最近還是把它弄出來了。
用上它之後,速度七十邁,調試好能耐。
先看看它的美顏,質樸中帶着機靈,機靈中特着小調皮…
特色功能
- 支持回車快速計算
- 支持windbg 64位地址格式,如00007ff6`6cbe825b
- 支持多窗口多模塊計算
- 支持32位、64位地址
- 自動判斷是否爲16進制數據,支持0x,h標記,如果是12345之類純數字無法判斷,最好直接勾選16進制選框
- 支持10進制和16進制快速轉換(也支持回車快速計算哦!)
描述一次典型使用場景:
- 複製調試中模塊基址粘貼到基址(調試)框
- 複製IDA中模塊基址粘貼到基址(IDA)框
- 複製調試中某地址粘貼到地址1(或地址2)
- 回車,得到對應IDA中地址1(或地址2)以及偏移1(或偏移2)
- 再次計算該模塊其他地址,只需要重複3、4即可
- 如果從IDA地址計算到調試中,複製IDA地址到對應地址框,回車即可
- 如果還需要計算其他模塊地址轉換,點+按鈕新增窗口,重複1-6即可
- 如果開窗口太多,在模塊標記欄填入模塊名字,防止混亂出錯
這樣一對比,可以想見效率高了多少,調試中心情舒暢多少。
心動了嗎?趕緊拿起電話…
後臺回覆:神算子,獲取工具下載地址。
如有bug、意見和建議,歡迎反饋!反饋羣:753894145。