0
我正在玩IDA的演示,我试图对一个程序进行一些逆向工程,以找出它使用的其中一个文件的结构。我的最终目标是能够直接从我自己的程序中读取该文件。使用Process Monitor我能够找到调用kernel32_ReadFile的子程序。我想知道的是,我怎么发现什么hFile变量指向它使呼叫ReadFile查找短期存在的句柄与哪个文件关联
我一直在探索周围的菜单之前,而在调试模式下,我还没有在任何地方内国际开发协会发现我可以查找关于哪个文件与文件句柄关联的信息。
如何将句柄映射到真实文件?
这就是我正在做的,但如果正在读取特定文件,我想要执行条件断点。我发现一个工作,但我可以打破'nNumberOfBytesToRead == 259',因为这是uninqe我想要的文件。我不会接受,因为我想要一个如何在IDA内部完成的解决方案,但如果没有人在几天内提供解决方案,我会给你答案。 – 2012-07-17 19:40:40