ollydbg在工具栏E里点击,找到加载的DLL,可以看到基地址,例如下面的就是6CBE0000,IDA里IDA:Edit->segments->Rebase program去设置同步即可!
好了下面是一些摘录:
1.日志窗口(L):
2.模块窗口(E):查看每个模块的内存基址
在恶意代码分析实战里也提到过:
DLL2基地址为003D0000,DLL1基地址为10000000。这与上一题StudyPE中查看的结果不同,这是由于PE装载所导致的。
同样,在windbg里也是类似的思路!
IDA:修改基址让.dll库的地址与windbg保持同步(IDA:Edit->segments->Rebase program,Windbg:Debug->modules查看地址)
IDA:\可以选择隐藏函数中变量类型,使得函数看起来更简洁。
左侧IDA, 右侧windbg
在这里插入图片描述
Windbg:Debug->Event Fliter选择忽略运行调试中的指定错误。
