在IDA pro下调试DLL的方法

在IDA pro下调试DLL的方法

简单介绍下在IDA pro下调试DLL的方法，因为例子目标是公式管理器，这里我们先打开IDA pro，让他对TCalc.dll进行静态分析，为啥要先分析捏？ 我们都知道在要是以TdxW.exe为目标来做的话，那么动态链接库是事先不做分析的，对于用惯了OD的估计很有感触，跑过了或跑到了才出来函数，我们在基于IDA的好处就是可以先静态分析并且IDA 有一个IDB的数据库可以保存你分析的结果，作为例子，我们还是用自动分析完成的来，IDA的分析几乎是一工业标准了，许多的反相框架都是以IDA pro的分析为基础然后再扩展，就是对动态链接库的跟踪来说我们用到的mynav也是基于IDA pro的分析基础上来做功能的扩展；

这里简单介绍一下调试DLL的方法，（这方法网上好像很少提，都在保密吗？），首先我们载入TCalc.DLL，自动分析完成



因为接下去要跑起来我们对一个调试辅助插件IDAStealth进行设置，功能类似于OD里的StrongOD或HideOD，如图


然后对IDA pro选择本地调试，这次不用WinDBG，是因为我们不需要利用WinDBG的一些调试特点所以选择了IDA pro内置的本地调试，



然后对Debuggger菜单里的process options做下设置，设置TCalc.DLL的实际host程序是TdxW,


F9开始运行我们可以看见对TCalc.IDB的数据库有个重新计算基址的过程，如果是在纯IDA 平台里这个我们不用管，不管是设置的断点什么，以后只要你想调试IDA pro都能自动计算到正确的位置，一般来说在Win XP下，下次就不会变了，但Win 7下每次都会变；


这时开始运行了
[attach]3917549[/attach]

好了当运行的时候我们点击IDA pro的界面看下，基址已经被改变

结束后的地址也是记录最后一次的地址


这就是DLL的调试过程和需要注意的要点，其他的跟踪方法在下面再展开