【问题标题】:Find what file a short lived HANDLE is associated with查找短暂的 HANDLE 与哪个文件相关联
【发布时间】:2012-07-16 13:52:33
【问题描述】:

我正在玩 IDA 的演示,我正在尝试对程序进行一些逆向工程,以找出它使用的其中一个文件的结构。我的最终目标是能够直接从我自己的程序中读取该文件。

使用Process Monitor 我能够找到调用kernel32_ReadFile 的子例程。我想知道的是如何在hFile 变量调用ReadFile 之前找出它所指向的内容

我在调试模式下一直在探索菜单,但在 IDA 中没有找到可以查找与文件句柄关联的文件的信息的任何地方。

如何将句柄映射到真实文件?

【问题讨论】:

    标签: winapi reverse-engineering handle ida


    【解决方案1】:

    此 MSDN 页面描述了从文件句柄中获取文件名的方法:

    http://msdn.microsoft.com/en-us/library/windows/desktop/aa366789(v=vs.85).aspx

    这是您要查找的信息吗?我不知道为什么你不能直接在进程监视器中看到文件名。

    【讨论】:

    • 这就是我正在做的事情,但如果正在读取特定文件,我想做一个条件断点。我找到了一个解决方法,我可以打破'nNumberOfBytesToRead == 259',因为这对我想要的文件是唯一的。我还不会接受,因为我想要一个如何在 IDA 内部进行的解决方案,但如果几天后没有人给出解决方案,我会给你答案。
    【解决方案2】:

    我会在CreateFileACreateFileW 上设置一个断点,然后查看正在打开哪些文件。然后,您可以将返回的 HANDLE 值与后续的 ReadFile 调用相匹配。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2011-01-17
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2016-04-29
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多