我正在分析一个应用程序,该应用程序通过在应用程序启动后在内存中的某处写入这些函数来加载多个高度互连的DLL文件并混淆函数调用。
简易解决方案 - >我拍了一张完整的内存快照(包括.debug片段)。现在ida数据库充满了加载的数据,大小约为3GB,这大大减慢了分析过程。我害怕删除.debug段,因为我无法确定应用程序没有将任何函数写入此内存。
有没有办法去除所有非代码数据?
答案 0 :(得分:1)
您可以删除段,但它似乎不会从数据库大小中减去。我知道的一种解决方法是导出数据库和类型信息,然后将它们导入到一个新项目中,但它可能不适合您