我在可执行文件中找到了一个数组,我想在运行时进一步调查 - 我想知道 和从哪里这个数组被访问在运行时。
使用IDA我有这个字节块:
.rdata:00D44170 1C 3C D4 00 80 E6 90 00 5C 41 D4 00 00 E7 90 00 <È.ǵÉ.\AÈ..þÉ.
.rdata:00D44180 4C 41 D4 00 50 E7 90 00 44 41 D4 00 B0 E8 90 00 LAÈ.PþÉ.DAÈ.¦ÞÉ.
.rdata:00D44190 3C 41 D4 00 00 E9 90 00 34 41 D4 00 10 EB 90 00 <AÈ..ÚÉ.4AÈ.ÙÉ.
.rdata:00D441A0 2C 41 D4 00 90 EB 90 00 24 41 D4 00 50 EB 90 00 ,AÈ.ÉÙÉ.$AÈ.PÙÉ.
.rdata:00D441B0 0C 8B E0 00 80 E4 90 00 18 41 D4 00 50 E5 90 00 ïÓ.ÇõÉ.AÈ.PÕÉ.
.rdata:00D441C0 EC 8A E0 00 40 F6 90 00 9C C8 E4 00 D0 EA 90 00 ýèÓ.@÷É.£+õ.ðÛÉ.
.rdata:00D441D0 10 41 D4 00 70 ED 90 00 08 41 D4 00 C0 ED 90 00 AÈ.pÝÉ.AÈ.+ÝÉ.
.rdata:00D441E0 FC 40 D4 00 C0 E9 90 00 F4 40 D4 00 F0 E9 90 00 ³@È.+ÚÉ.¶@È.ÚÉ.
.rdata:00D441F0 EC 40 D4 00 20 EA 90 00 E4 40 D4 00 10 EE 90 00 ý@È. ÛÉ.õ@È.¯É.
.rdata:00D44200 D4 40 D4 00 A0 EA 90 00 CC 40 D4 00 60 EA 90 00 È@È.áÛÉ.¦@È.`ÛÉ.
.rdata:00D44210 C0 40 D4 00 E0 EC 90 00 B8 40 D4 00 20 ED 90 00 +@È.ÓýÉ.©@È. ÝÉ.
.rdata:00D44220 AC 40 D4 00 80 EC 90 00 A4 40 D4 00 50 F0 90 00 ¼@È.ÇýÉ.ñ@È.PÉ.
.rdata:00D44230 00 00 00 00 00 00 00 00 ........
问题是我是否可以在进程运行时计算其实际虚拟地址,以便使用其他工具(如Cheat Engine)为我观察虚拟内存中的这个特定区域。