IDA无法识别VirtualAlloc中的flAllocationType为0X3000

IDA中使用Bitfield解析Win32函数参数
最新推荐文章于 2022-11-08 21:39:53 发布
原创 最新推荐文章于 2022-11-08 21:39:53 发布 · 602 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何在IDA Pro中通过添加枚举类型并启用bitfield域支持,来正确解析如VirtualAlloc函数中flAllocationType参数的值,如0x3000对应的MEM_RESERVE|MEM_COMMIT标志。

使用IDA分析时,经常会遇到一些Win32函数的参数无法正常识别,比如VirtualAlloc这个函数的flAllocationType为0x3000时,就无法正常识别

在这里插入图片描述

MEM_RESERVE | MEM_COMMIT = 0x3000

IDA添加枚举类型时,开启bitfield域的支持就行了

在这里插入图片描述
应用bitfield的枚举类型以后,可以正常解析0x3000为MEM_RESERVE | MEM_COMMIT
在这里插入图片描述

参考:https://www.hex-rays.com/products/ida/support/tutorials/bitfields/index.shtml

md5在ida中的识别
qq_42423940的博客
06-23 198
ida识别md5 ,先右键转为hex 或者按h在ida中当然也可以使用搜索search imdate-value 搜索立即数 0x67452301;这是上面的init中的state一个数···
IDA密码算法自动化识别插件、脚本汇总
一个热爱逆向,喜爱学习、分享的猿。
03-08 6635
在逆向过程中,自动识别文件中存在的密码算法。原理上只有两条路 1、密码算法中的常量特征(常数、s盒等); 2、特定加密库的独有特征(字符串、指令流等)。 现有工具特点: 1、大多都是根据密码算法的常量特征进行识别,很少包含特定加密库的特征。 2、都是以反汇编工具(IDA/Ghidra)的插件、脚本形式存在。 3、都是基于静态分析,也就是只能识别静态特征。如果特征在运行时动态生成,则无能为力。 findcrypt系列 FindCrypt和FindCrypt2 最初的基础,2006年hex
allocation_type的含义
congding2766的博客
07-02 645
ALLOCATION_TYPE 这个值有3个选项:1、system:一旦设定该值,next_extent将为空,只有extents值。该值是默认值。这个选项的最小是64K2、 user:一旦设定该值,就允许我们可以控制next_...
windows程序设计中的 VirtualAlloc
hemeinvyiqiluoben的专栏
08-27 617
另外,在WINDOWS下,最好的方式是用VirtualAlloc分配内存,他不是在堆,也不是在栈是直接在进程的地址空间中保留一快内存,虽然用起来最不方便。但是速度快,也最灵活。   具体用法如下:
【转帖】虚拟内存技术原理和使用方法
floweronwarmbed的专栏
11-26 631
  引言   Windows的内存结构是深入理解Windows操作系统如何运作的最关键之所在,通过对内存结构的认识可清楚地了解诸如进程间数据的共享、对内存进行有效的管理等问题,从而能够在程序设计时使程序以更加有效的方式运行。Windows操作系统对内存的管理可采取多种不同的方式,其中虚拟内存的管理方式可用来管理大型的对象和结构数组。  在Windows系统中,任何一个进程都被赋予其自己的虚拟地址空
VirtualAllocAPi逆向笔记
qq_43147121的博客
11-08 1431
Windows API逆向
实验六 系统内存使用统计
G453473123的博客
06-19 1263
实验六 系统内存使用统计 一、实验目的 了解Windows内存管理机制,理解页式存储管理技术。 熟悉Windows内存管理基本数据结构。 掌握Windows内存管理基本API的使用。 二、实验准备 相关数据结构及API函数介绍 相关系统数据结构说明 系统结构MEMORYSTATUS中包含当前物理内存和虚拟内存和虚拟内存信息,使用函数GlobaiMemoryStatus()可以将这些信息存储在结构MEMORYSTATUS中。 结构原型: Typedef struct_MRMORYSTATUS{
每天一个IDA小技巧(四)结构体识别1
08-03
第三个复选框Creat union(创建联合),指 第一个字段为 第二个字段应为1个字 第一种方法有些不太正规,即将.til文件由打开的数据库复制到
IDA_逆向中_如何识别COM组件
09-21
### IDA逆向中识别COM组件的方法 #### 1. 概述 在逆向工程领域,特别是针对基于Windows的应用程序进行分析时,COM(Component Object Model)组件的识别是一项重要的技能。COM是一种允许不同进程间通信的技术,在...
识别c++ RTTI的ida脚本1
08-08
《C++ RTTI识别IDA脚本应用解析》 C++的运行时类型信息(Runtime Type Information,简称RTTI)是一种强大的特性,它允许在程序运行时查询对象的实际类型。在深入探讨RTTI的实现机制之前,我们首先理解RTTI的基本...
Windows API笔记(五)管理虚拟内存
David
05-08 2577
Windows API笔记(一)内核对象 Windows API笔记(二)进程和进程间通信、进程边界 Windows API笔记(三)线程和线程同步、线程局部存储 Windows API笔记(四)win32内存结构 Windows API笔记(五)虚拟内存 Windows API笔记(六)内存映射文件 Windows API笔记(七)堆 Windows API笔记(八)文件系统 Windows A...
黑帽python第二版(Black Hat Python 2nd Edition)读书笔记 之 第八章 Windows常见特洛伊木马任务(3)python执行shellcode
阿尔泰野狼的博客
10-21 431
本文记录了博主在阅读Black Hat Python 2nd Edition过程中的心得与踩坑经历。
Windows内存管理
热门推荐
wubin1124的专栏
01-12 1万+
一、开始之前,让我们来了解一下Windows中内存管理的一些知识:1. 机器的物理内存由两部分组成。一部分为机器的主存RAM,也就是我们内存条的大小;另一部分为虚拟内存,它就在机器的硬盘上,以页文件的形式存在。2. 每个进程都有自己的虚拟地址空间,对于具有32位寻址能力的机器来说,这个虚拟空间的大小为4GB。现在我们使用的机器就是4GB。3. 进程的4GB虚拟地址空间又可以分成几个部分
WIN32内存管理和文件操作
weixin_43575859的博客
03-21 469
在WIN32中,进程可以使用的整个地址空间就是应该堆。而堆又分为默认堆和私有堆也叫动态堆,一个进程只有一个默认堆,但是可以又多个私有堆,私有堆位于默认堆中。 标准内存管理函数总是在默认堆中分配和释放内存。 内存映射文件函数相对不同,他是为了文件操作方便而设立的,当堆文件进行操作的时候,先打开文件,然后将文件直接映射到进程的地址空间中,然后我们就可以通过指针像访问内存一样访问文件了。 下面就来...
Windows 中的三种常用 DLL 注入技术
langshanglibie的专栏
03-30 8057
Windows 中的三种常用 DLL 注入技术 一、DLL 注入技术的用途 二、DLL 注入基础 2.1 进程虚拟地址空间 2.2 读写其他进程的内存 2.3 LoadLibraryW 函数 三、APC 注入 四、远程线程注入 五、Windows 钩子 六、全局钩子注入 一、DLL 注入技术的用途 在 Windows 中,每个进程都有自己私有的虚拟地址空间。所以,一个进程没法访问另一个进程的内存。 但是,很多时候我们还是需要跨越进程的边界,来访问另一个进程的地址空
VirtualAllocEx 跨进程读写数据 代码注入
xuplus的专栏
04-15 7743
VirtualAllocEx 函数的作用是在指定进程的虚拟空间保留或提交内存区域,除非指定MEM_RESET参数,否则将该内存区域置0。 LPVOID VirtualAllocEx( HANDLE hProcess, // 申请内存所在的进程句柄 LPVOID lpAddress, // 保留页面的内存地址;一般用NULL自动分配 SIZE_T dwSize, // 欲分配的内存大小,字节
Windows API一日一练(77)VirtualAlloc函数
anjichan4261的博客
11-20 431
上一次学习了全局内存的分配,在Windows里内存管理是分为两部份,全局内存是系统管理的内存,因而所有进程都可以访问的内存,而每一个进程又有自己的内存空间,这就是虚拟内存空间了,而虚拟内存的空间比较大,当物理内存不足时,系统会把虚拟内存的数据保存到硬盘里,这样只要硬盘的空间足够大,每个进程就可以使用3G的内存。虚拟内存分配可以作为程序里分配内存的主要方式,比如大量的数据缓冲区,动态分配内...
VirtualAllocEx函数
bobO的专栏
10-31 1万+
VirtualAllocEx 2009-09-18 23:00 [翻译整理] M4orz3r.. Blog...Http://Hi.baidu.com/M4orz3r 转载请注明... 水平有限,翻译错误之处请留言告知... 功能:在指定进程的虚拟地址空间中保留或开辟一段区域..除非MEM_RESET被使用,否则这个函数将会初始化那段内存为0. 函数原型: LPVOID WI
操作系统实验六、系统内存使用统计
weixin_44775375的博客
08-03 1863
实验六:系统内存使用统计 一、实验目的 1.了解windows内存管理机制,理解页式存储管理技术。 2.熟悉Windows内存管理基本数据结构。 3.掌握WIndows内存管理基本API的使用。 二、实验准备知识:相关数据结构及API函数介绍 1.相关系统数据结构说明: 系统结构MEMORYSTATUS中包含当前物理内存和虚拟内存和虚拟内存信息,使用函数GlobalMemoryStatus()可以将这些信息存储在结构MEMORYSTATUS中。 结构原型: Typedef struct_MRMORYSTAT
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值