我正在玩IDA的演示,我正在尝试对程序进行一些逆向工程,以找出它使用的一个文件的结构。我的最终目标是能够直接从我自己的程序中读取该文件。
使用Process Monitor我能够找到调用kernel32_ReadFile的子程序。我想知道的是如何在调用hFile
ReadFile变量指向的内容
我在调试模式下一直在浏览菜单,我没有在IDA中找到任何地方,我可以在其中查找有关文件句柄关联的文件的信息。
如何将句柄映射到真实文件?
答案 0 :(得分:0)
此MSDN页面描述了从文件句柄获取文件名的方法:
http://msdn.microsoft.com/en-us/library/windows/desktop/aa366789(v=vs.85).aspx
这是您要查找的信息吗?我不确定为什么你不能直接在Process Monitor中看到文件名。
答案 1 :(得分:0)
我会在CreateFileA和CreateFileW上设置一个断点,然后查看正在打开的文件。然后,您可以将返回的HANDLE值与后续ReadFile来电匹配。