Windbg + IDA:计算模块中的地址

时间:2010-04-15 02:29:51

标签: reverse-engineering windbg offset ida

我正在远程调试Windows XP机器。我的一个驱动程序加载到地址0xb2c4c000,最高为0xb2cb9680。

现在,当我在IDA中打开驱动程序时,我想设置断点的偏移量是00017619。

如何有效地将我的IDA地址与windbg匹配?

我已经尝试了显而易见的,即总和0xb2c4c000 + 00017619 = 0xB2C635F7并使用windbg中的'u'命令反汇编该地址。但结果与国际开发协会的大会不符。

关于方面问题:有没有办法取消在windbg中运行的命令?有几次我运行了需要很长时间才能处理的命令,我希望能够在需要时取消它们。所以我可以继续工作。

感谢您的时间。

2 个答案:

答案 0 :(得分:3)

最新版本的IDA Pro允许您通过其WinDbg调试器插件调试设备驱动程序。

另一个替代方案是,您可以将数据库重新绑定以匹配已加载模块的基础,就像您在idb和windbg会话之间进行一对一映射一样。

答案 1 :(得分:2)

您添加错误。由于IDA假定10000作为入口点正确的添加方式是

0xb2c4c000 + 00007619(减去10000)