记一次X64dbg导入MAP文件后符号地址错误的解决方法

最新推荐文章于 2023-09-18 20:50:28 发布
最新推荐文章于 2023-09-18 20:50:28 发布
阅读量721 收藏
点赞数 1
分类专栏: IDA X64dbg 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40642404/article/details/124530547
版权

IDA版本:7.2
X64Dbg版本:x64dbg_2021_03_12
X64Dbg加载Map文件插件:SwissArmyKnife 9-26-2020
假期想重新分区,给C盘扩展一下,结果系统进不去了,重置后进系统却没有网络,ping不出去,尝试各种方法后无奈准备调试ping.exe看能不能找到问题,这是前提条件
因为工作电脑ping不出去,没网,就吧ping.exe拷贝到另一台电脑上用IDA7.2加载系统符号分析一下。然后在工作电脑上用X64dbg调试。加载系统符号后清晰了很多,所有函数都被识别了出来
没加载符号库

加载系统符号后解析后的函数
就想导出MAP文件到X64Dbg,但导入后出现了问题:
在这里插入图片描述
IDA中main函数地址为7FF663651B5C
导入后main'函数的地址指向了ntdll的text段
但导入X64dbg后,main函数的地址变成了7FFEF94D0B5C,指到了ntdll的text,确定不是IDA设置问题,因为我已经把IDA基址设置为和X64dbg一样,尝试了两次后问题还在,去官网加百度找一圈也没看到类似的情况,只好自己试着看看吧。
首先想的是为什么函数符号会跑到ntdll里。应该都在exe文件所在内存空间才对。
想了很久的我忽然注意到,在X64dbg载入进程的伊始,地址就是在ntdll里,于是先按一下F9让程序走到exe的空间,再导入map文件。
可以,符号成功来到EXE所在内存了,但地址还不对。成功了一小步
在这里插入图片描述
该地址与实际地址小了0x1000,像是MAP文件的问题,没办法,看看MAP文件吧

在这里插入图片描述
MAP不复杂,虽然看不太懂,但能猜个大概,后边是函数名,冒号后应该是偏移,暂时不知道冒号前的意义,感觉像是区段,但又不存在000001的区段,想着会不会是IDA和X64的起始下标不一样导致的,把这里改成2试试。于是把这里的数字都加了一,居然成功了。

weixin_40642404
关注
专栏目录
x86-x64汇编语言、反汇编知识和IDA
m0_61634551的博客
01-20 1030
x86寄存器:通用寄存器:EAX, EBX, ECX, EDX, ESI, EDI栈顶指针寄存器:ESP栈底指针寄存器:EBP指令计数器:EIP段寄存器:CS, DS, ES, FS, GS, SSx86-64寄存器:(把E改成R)通用寄存器:RAX, RBX, RCX, RDX, RSI, RDI,R8-R15栈顶指针寄存器:RSP栈底指针寄存器:RBP指令计数器:RIP段寄存器:CS, DS, ES, FS, GS, SS16位寄存器:(把E或R删了)
尚硅谷大数据项目之Flink实时数仓-踩坑录和笔
prague6695的博客
08-11 2558
尚硅谷大数据项目之Flink实时数仓-踩坑录和笔
x64dbg 基本使用技巧
沐一 · 林 的博客
06-22 1万+
最近使用 DBG 多了起来,所以查了一些资料来学习并整理成自适应的笔。本文摘抄自:x64dbg 使用技巧与实用插件合集官方网站: https://x64dbg.com/DBG 解压后根目录如下图,双击 x96dbg,出现三个弹窗,会生成 x96dbg.ini 文件,里面录着 32 位和 64位 dbg 程序的路径。 当你需要把整个程序文件夹移动到其他路径时,最好把这个 ini 删除,重新双击让它再生成。当你需要把它加到发送到菜单中的时候,也推荐添加 x96dbg,它会自动选择用 x32 还是 x64db
Vue项目中常见问题(64)处理map文件
qq_46368050的博客
05-26 1680
gitee仓库地址:https://gitee.com/CMD-UROOT/sph-project/commits/master 大家根据上传历史进行查找你需要的代码 打包我们的项目 在我们项目的这个目录下: 鼠标右键: 弹出我们输入npm run build 打包成功后,多了一个dist文件 现在我们可以单独打开dist文件看看,当然以后只需要dist文件了其他的都不用了 这些文件我们都认识,但是js中有一种文件的格式,MAP文件我们不认识 ...
IDA-导出Map文件-X64dbg-导入Map信息-函数信息
插件开发
05-12 1409
  IDA作为强大的静态汇编分析工具,它有出色的信息存储能力,分析好静态代码后,将标注的函数信息导出为map文件,供动态工具调试使用。 1.IDA导出map文件   File->Produce file->Create Map file,如下图所示: 2.设置合适的参数   如下图所示: 3.X64dbg导入   采用SwissArmyKnife导入Map信息,如下图所示:   合理的脚本代码可以有效的提高工作效率,减少重复劳动。 4.作者答疑   如有疑问,敬请留言。 ...
linux无效内存访问,x86_64 Linux 3.0:无效的内存地址
weixin_29631169的博客
05-01 785
x86_64体系结构上的Linux 3.0上的进程具有64位虚拟地址空间.很明显,在该地址空间中,保证0是无效的内存地址[请参见下面的定义],因为该地址用于指示NULL指针.保证哪些其他64位数字(如果有)永远都不是有效的内存地址,为什么?例如,1可以是有效地址吗?那2 ^ 64-1呢?定义:您是什么意思“保证是无效的内存地址”?void deref_and_assign(uint64_t i){...
Windows平台的x64dbg插件合集
$firecat利白的代码足迹$
11-02 1万+
1、x64dbg软件官网 GitHub - x64dbg/x64dbg: An open-source x64/x32 debugger for windows. x64dbg - Browse Files at SourceForge.net 2、x64dbg插件官网 Plugins · x64dbg/x64dbg Wiki · GitHub插件清单 PluginManager/list.json at master · x64dbg/PluginManager · GitHub插件清单..
分析常见数据结构在内存中的存储形式
最新发布
qq_61553520的博客
09-18 351
如果我们想计算出动态数组的长度,只需要用第三个地址减去第二个地址,然后除以元素的大小,就能 算出元素的个数了。// 指向自己的指针T* fisrt;// 指向数据的首地址T* last;// 最后一个元素的下一个位置(数据结束地址)T* end;// 指向缓冲区的结尾// 指向自己的指针// 指向头节点,头节点不存储数据int size;// 元素个数// 下一个节点// 上一个节点T data;// 数据域map对象:+00 指针,指向自己+04 头节点+08 元素个数。
FastHook——实现.dynsym段和.symtab段符号查询
TuringTechnician的博客
03-22 1213
一、概述 通过dlopen、dlsym获取共享库函数地址、全局变量是一种经常使用到的编程技巧,尤其是在Hook框架中。然而无论是dlsym还是一些常用框架(如Nougat_dlfunctions),都只能搜索**.dynsym段,而无法搜索.symtab**段。因此实现.symtab段搜索是一个亟待解决的问题。 本文将介绍在Nougat_dlfunctions框架基础上,如何实现搜索.symtab...
各种格式的文件使用工具打开
热门推荐
小资嵌入式
05-23 4万+
ai 用adobe illustrator ape 用foorbar2000 cdr 用coreldraw cda 用cd播放软件 ceb 用方正公司Apabi Reader caj,kdh 用cajviewer doc,wpd,rtf 用word DCP 用DcpReader dxf,dwg 用autoacd GB 用ReadBook或电子小说阅读器 html,htm,a
[IDA Plugin] IDA插件收集
志伟入归未有时(兴业和家)
08-31 8736
英语好的,看这里:https://github.com/onethawt/idaplugins-list随着时间的推移,我将组织插件。如果您有任何其他优秀的插件,请提交PR。我想用相应的IDA版本标每个插件,但是我需要很长时间才能测试。如果你能帮到那里,请做。如果一个插件只是一个没有描述或文档的源代码,我不会添加它。去做 添加更多插件 分类插件 插件 3DSX Loader:用于3DSX文...
x64dbg和IDA pro 配置PDB 符号文件symbols
大哥一声吼
02-24 4467
PDB(Program Debugging Database)就是在生成EXE 和 DLL 文件的过程中生成的这个文件,可以帮助进行调试。为什么x64dbg 没有将PDB 文件集成到软件中呢?主要是PDB 文件太大了,在分发安装包的时候会很大,也不方便x64dbg 版本的更新等。
Dephi逆向工具Dede导出函数名MAP导入到IDA中
qq_20031585的博客
08-02 1406
Dephi逆向工具Dede导出函数名map导入到IDA中
X64Dbg使用教程
南宫封清的博客
04-08 3万+
读取内存数据 字节/字/双字/四字/指针(ptr) ReadByte,Byte,byte(addr):从 addr 读取一个字节,并返回该值。 ReadWord,Word,word(addr):从 addr 读取一个字(2字节),并返回该值。 ReadDword,Dword,dword(addr):从 addr 读取双字(4字节),并返回该值。 ReadQword,Qword,qword(add...
[分享] X64下调试工具(不断更新)
weixin_33881041的博客
01-25 341
为什么80%的码农都做不了架构师?>>> ...
VC6之MAP文件生成及格式
快乐天堂
07-14 7064
 文件生成方式:在 VC 中,我们可以按下 Alt+F7 ,打开“Project Settings”选项页,选择 C/C++ 选项卡,并在最下面的 Project Options 里面输入:/Zd ,然后要选择 Link 选项卡,在最下面的 Project Options 里面输入: /mapinfo:lines 和 /map:PROJECT_NAME.map 。最后按下 F7 来编译生成 E
map 文件的使用
Horin与程序
04-28 1万+
                 map 文件的使用             Horin|贺勤        Email: horin153@msn.com        Blog: http://blog.csdn.net/horin153/----- 前言 -----    在程序发布后,最怕的事情是什么?不是效率低,不是界面不好,而是 crash。当用户把一张程序 crash 后的 Wind
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值