[IDA]結構體指針的轉換
今天在分析惡意代碼時,發現其復制一份PE文件,其對PE頭部進行許多步處理,但是IDA並不能識別這些變量,因此需要我們手動來添加,但是隨之而來的一個問題是,IDA有標准的PE結構體,但是卻沒有指針,因此我們就需要重定義變量。
一、如何判斷對PE文件的操作
結合之前分析這是一個復制文件操作,我們合理懷疑這是一個PE文件。
然后我們查看到其分別判斷MZ與PE,驗證我們的懷疑。
二、導入標准結構體
轉到struct窗口,按insert鍵插入結構體,里面有標准結構體,我們搜索到需要用到的。
三、將變量轉換為結構體指針
對准變量按住Y鍵,表示重定義變量聲明,我們將其聲明一個結構體。
四、重命名變量
之后對變量按N鍵來重命名變量,這樣我們就很容易分析其數據。
