0
我正在玩IDA的演示,我試圖對一個程序進行一些逆向工程,以找出它使用的其中一個文件的結構。我的最終目標是能夠直接從我自己的程序中讀取該文件。使用Process Monitor我能夠找到調用kernel32_ReadFile的子程序。我想知道的是,我怎麼發現什麼hFile變量指向它使呼叫ReadFile查找短期存在的句柄與哪個文件關聯
我一直在探索周圍的菜單之前,而在調試模式下,我還沒有在任何地方內國際開發協會發現我可以查找關於哪個文件與文件句柄關聯的信息。
如何將句柄映射到真實文件?
這就是我正在做的,但如果正在讀取特定文件,我想要執行條件斷點。我發現一個工作,但我可以打破'nNumberOfBytesToRead == 259',因爲這是uninqe我想要的文件。我不會接受,因爲我想要一個如何在IDA內部完成的解決方案,但如果沒有人在幾天內提供解決方案,我會給你答案。 – 2012-07-17 19:40:40