IDA学习笔记
+ -
IDA的for循环

IDA字符串窗口配置

2024-01-09 5 0

打开字符串窗品的方法:View/Open subViewes/String(Shitf+12)

IDA字符串配置窗口如下图所示:
171838597378
这里比较关键的就是1和2。

对于1,默认是不勾选的。这样IDA就不会搜索代码栈空间上的字符串。如果勾选上,那么会搜索函数栈空间上的字符串。
如有示例代码如下:

#include <stdio.h>
int main()
{
    char stackstr[] = { "stack string" };
    printf("%s\n", str);

    const char* gstr = "global const str";
    printf("%s\n", gstr);

    int a[10];
    for (int i = 0; i < 10; i++)
    {
        a[i] = i + 1;
    }

    return 0;
}

在不勾选的情况下,stackstr的内容是不会搜索并显示的。
172117803711
而当勾选的情况下,是可以搜索到stackstr的内容的。
172214976270
如以从效果上来看,如果勾选了,会多了一些字符串的。

2就是对于UNICODE字符串的搜索。如果选中也会查找UNICODE的字符串。这在Windows环境下的应用程序是很重要的。

而最一下的是对搜索的字符串的长度过滤。如果长度小于设置的值,将不显示。

IDA的for循环

0 篇笔记 写笔记

字符串UNICODE_STRING
在Windows下编程,根据字符串的使用分为UNICODE编程和我们平常使用的多字节编程。我们开发Windows驱动使用的是C语言。在C语言中定义的字符串是以为结尾表示一个字符串的结束。 char* pStr="www.pnpon.com";// ansi字符串 ......
使用CLSIDFromString将字符串GUID转化成十六进制GUID/UUID
Windows的一般会给相同类型的设备接口注册相同的GUID,但GUID有时别人给的是一个字符串,但是在实际使用过程中我们又使用的是GUID类型,其结构定义如下:typedef struct _GUID { unsigned long Data1; unsigned short ......
Windows内核STRING转UNICODE
VOIDConvertToUnicodeString( IN CHAR * Buffer, IN ULONG ResultBufferLength, IN ULONG ResultBufferOffset, OUT LPWSTR ResultBuffer, ......
UNICODE、多字节和通用兼容字符串函数对照表
Generic-text routine nameSBCS (_UNICODE & MBCS not defined)_MBCS defined_UNICODE defined_cgetts_cgets_cgets_cgetws_cgetts_s_cget......
ANSI_STRING字符串与UNICODE_STRING字符串相互转换 - Windows内核模式下的字符串操作
函数名称:RtlUnicodeStringToAnsiString功能描述:将UNICODE_STRING字符串转化成ANSI_STRING字符串参数列表:DestinationString:需要转化的字符串SourceString:需要转换的原字符串AllocateDesctinationSt......
ASCII字符串和宽字符串处理
在驱动程序开发中,DDK将char和wchar_t类别,替换成CHAR和WCHAR类别驱动程序中用KdPrint打印ASCII字符串和宽字符串:打印ASCII字符串 CHAR *string = “Hello”;  KdPrint(“%s ”, string);打印WCHAR字符串  ......
字符串UNICODDE_STRING与整型数字相互转换
/************************************************************************  * 函数名称:RtlUnicodeStringToInteger  * 功能描述:UNICODE_STRING字符串转化成整型数字  * ......
Windbg和IDA配合解决已卸载的驱动DPC定时器引起的蓝屏DRIVER_IRQL_NOT_LESS_OR_EQUAL
最近搞了一个虚拟的设备驱动,自己测试都没有问题,不过拿给同事正式用的时候,会出现蓝屏问题。按他来说,好像成了必现问题。今天一大早,斜风细雨,天气凉爽,正是揪出这个BUG的好时机,说干就干。自己先是在调试机中模拟同事的试验方法,可惜的是,试了多次均没有复现。还真是奇怪了,没办法,自己只能不起寻常路了。......
C/C++技巧 多个字符串的存储
经常有这样的一种情况,已经有多条字符串,各个字符串的长度未知,但总大小却固定或在一定的范围内,这样在进行字符串检索或存储时有时比较难办。我们可以采用双’’的方式来表示所有字符串的结尾,单’’表示某条字符串的结束。如有内存如下:"abcde\0123\0XYZ\0\0"......
PNP管理器设备树变动IoInvalidateDeviceRelations
IoInvalidateDeviceRelations用于通知PNP管理器设备树关系已经发生变化,这样PNP管理器会重新扫描设备树。VOID IoInvalidateDeviceRelations( IN PDEVICE_OBJECT DeviceObject, IN DEV......
IDA字符串窗口配置
打开字符串窗品的方法:View/Open subViewes/String(Shitf+12)IDA字符串配置窗口如下图所示:这里比较关键的就是1和2。对于1,默认是不勾选的。这样IDA就不会搜索代码栈空间上的字符串。如果勾选上,那么会搜索函数栈空间上的字符串。如有示例代码如下:#incl......
IDA的for循环
自己写了一个测试小程序,拖到了IDA中反汇编。其中一段反汇编代码如下:.text:0041194D mov [ebp+i], 0.text:00411954 jmp short loc_41195F.text:00......
IDA拖出来的单独窗口复位到标签页恢复停靠
如图所示,有时习惯双屏显示来看代码分析。所有把一个标签页拖出来到一个单独的窗口。这时如果想恢复到原来的标签页中。把鼠标放在拖出来的窗口标题栏的深色区显域,这时会显示 drop this title to dock somewhere else 这时就可以把拖出来的窗口再次拖进标签页进行停靠了。......
作者信息
我爱内核
Windows驱动开发,网站开发
好好学习,天天向上。
  • IDA学习笔记
    • 取消
    感谢您的支持,我会继续努力的!
    扫码支持
    扫码打赏,你说多少就多少

    打开支付宝扫一扫,即可进行扫码打赏哦

    您的支持,是我们前进的动力!