[IDA]结构体指针的转换
今天在分析恶意代码时,发现其复制一份PE文件,其对PE头部进行许多步处理,但是IDA并不能识别这些变量,因此需要我们手动来添加,但是随之而来的一个问题是,IDA有标准的PE结构体,但是却没有指针,因此我们就需要重定义变量。
一、如何判断对PE文件的操作
结合之前分析这是一个复制文件操作,我们合理怀疑这是一个PE文件。
然后我们查看到其分别判断MZ与PE,验证我们的怀疑。
二、导入标准结构体
转到struct窗口,按insert键插入结构体,里面有标准结构体,我们搜索到需要用到的。
三、将变量转换为结构体指针
对准变量按住Y键,表示重定义变量声明,我们将其声明一个结构体。
四、重命名变量
之后对变量按N键来重命名变量,这样我们就很容易分析其数据。
