IDA无法识别VirtualAlloc中的flAllocationType为0X3000

最新推荐文章于 2022-11-08 21:39:53 发布
最新推荐文章于 2022-11-08 21:39:53 发布
阅读量538 收藏
点赞数
分类专栏: IDA Tips
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/101674378
版权

使用IDA分析时,经常会遇到一些Win32函数的参数无法正常识别,比如VirtualAlloc这个函数的flAllocationType为0x3000时,就无法正常识别

在这里插入图片描述

MEM_RESERVE | MEM_COMMIT = 0x3000

IDA添加枚举类型时,开启bitfield域的支持就行了

在这里插入图片描述
应用bitfield的枚举类型以后,可以正常解析0x3000为MEM_RESERVE | MEM_COMMIT
在这里插入图片描述

参考:https://www.hex-rays.com/products/ida/support/tutorials/bitfields/index.shtml

FFE4
关注
专栏目录
反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
dvlinker的技术专栏
10-07 5万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
allocation_type的含义
congding2766的博客
07-02 564
ALLOCATION_TYPE 这个值有3个选项:1、system:一旦设定该值,next_extent将为空,只有extents值。该值是默认值。这个选项的最小是64K2、 user:一旦设定该值,就允许我们可以控制next_...
windows程序设计VirtualAlloc
hemeinvyiqiluoben的专栏
08-27 564
另外,在WINDOWS下,最好的方式是用VirtualAlloc分配内存,他不是在堆,也不是在栈是直接在进程的地址空间保留一快内存,虽然用起来最不方便。但是速度快,也最灵活。   具体用法如下:
VirtualAllocAPi逆向笔记
最新发布
qq_43147121的博客
11-08 1237
Windows API逆向
内存分配及清空、调试
weixin_33840661的博客
05-05 233
1. 存分配的三个方法: (1)      从静态存储区域分配。内存在程序编译的时候就已经分配好,这块内存在程序的整个运行期间都存在。例如全局变量,static变量。 (2)      在栈上创建。在执行函数时,函数内局部变量的存储单元都可以在栈上创建,函数执行结束时这些存储单元自动被释放。栈内存分配运算内置于处理器的指令集,效率很高,但是分配的内存容量有限。 (3)      从堆上分配...
虚拟内存
scut_su的专栏
09-06 397
<br />要申请虚拟内存,有以下2个步骤:<br /> 1、预订地址空间区域2、 调拨物理存储器<br />LPVOID VirtualAlloc(   LPVOID lpAddress, // region to reserve or commit   SIZE_T dwSize, // size of region   DWORD flAllocationType, // type of allocation   DWORD flProtect // type of access protec
每天一个IDA小技巧(四)结构体识别1
08-03
第三个复选框Creat union(创建联合),指 第一个字段为 第二个字段应为1个字 第一种方法有些不太正规,即将.til文件由打开的数据库复制到
IDA_逆向_如何识别COM组件
09-21
### IDA逆向识别COM组件的方法 #### 1. 概述 在逆向工程领域,特别是针对基于Windows的应用程序进行分析时,COM(Component Object Model)组件的识别是一项重要的技能。COM是一种允许不同进程间通信的技术,在...
从零开始学IDA逆向()1
08-03
- 当DEP启用时,传统的方法如直接修改内存的指令可能无法执行,因此需要利用技术如ROP来绕过DEP。 - ROP是一种利用栈上的已知函数指针序列来构造执行流的技术,避免在非执行内存区域写入新的代码。 6. **...
识别c++ RTTI的ida脚本1
08-08
《C++ RTTI识别IDA脚本应用解析》 C++的运行时类型信息(Runtime Type Information,简称RTTI)是一种强大的特性,它允许在程序运行时查询对象的实际类型。在深入探讨RTTI的实现机制之前,我们首先理解RTTI的基本...
GlobalAlloc and VirtualAlloc分配系统内存
时钟
04-27 335
<br />在Windows系统里,有一项功能非常实用,就是剪贴板功能,它能够从一个程序里与另一个程序进行数据交换的功能,也就是说两个进程上是可以共享数据。要实现这样的功能,Windows系统在底层上有相应的支持,就是高端地址的内存是系统内存,这样就可以不同的进程进行共享数据了。因此,调用函数GlobalAlloc来分配系统内存,让不同的进程实现共享数据,也就是剪贴板功能,可以在一个进程内分配内存,在另一个进程里访问数据后删除内存。<br /> <br />函数GlobalAlloc声明如下:<br /> 
在应用程序使用虚拟内存(VirtualAlloc VirtualFree)
baidu_25539425的博客
12-10 3684
此虚拟内存非彼虚拟内存,此虚拟内存实际上指的是虚拟地址空间 LPVOID VirtualAlloc{ LPVOID lpAddress, // 要分配的内存区域的地址 DWORD dwSize, // 分配的大小 DWORD flAllocationType, // 分配的类型 DWORD flProtect // 该内存的初始保护属性 }; 1.这个函数可以用来对虚拟地址空间进行分配
虚拟地址空间
baidu_16370559的博客
02-26 402
windows 32bit操作系统 进程地址空间可用地址区域一般是 0x00010000->0x7FFEFFFF。总共2G.进程无法通过指针来读取、写入或以任何方式,访问驻留在这一分区的其他进程的数据。 另外,内核模式分区范围是:0x80000000->0xFFFFFFFF 也是2G.这一分区是操作系统代码的驻地,与线程调度、内存管理、文件系统支持、网络支持以及设备驱动程序相...
操作系统实验六、系统内存使用统计
weixin_44775375的博客
08-03 1710
实验六:系统内存使用统计 一、实验目的 1.了解windows内存管理机制,理解页式存储管理技术。 2.熟悉Windows内存管理基本数据结构。 3.掌握WIndows内存管理基本API的使用。 二、实验准备知识:相关数据结构及API函数介绍 1.相关系统数据结构说明: 系统结构MEMORYSTATUS包含当前物理内存和虚拟内存和虚拟内存信息,使用函数GlobalMemoryStatus()可以将这些信息存储在结构MEMORYSTATUS。 结构原型: Typedef struct_MRMORYSTAT
VirtualAllocEx 跨进程读写数据
顺其自然~专栏
12-17 3166
VirtualAllocEx 函数的作用是在指定进程的虚拟空间保留或提交内存区域,除非指定MEM_RESET参数,否则将该内存区域置0。 LPVOID VirtualAllocEx( HANDLE hProcess, // 申请内存所在的进程句柄 LPVOID lpAddress, // 保留页面的内存地址;一般用NULL自动分配 SIZE_T dwSize, // 欲分配的内存大小,字节单位;注意实际分 配的内存大小是页内存大小的整数倍 DWORD flA.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值