「神器」除錯好幫手：神運算元偏移計算工具
by anhkgg
2018年12月11日

0x01.寫在前面

做逆向除錯的小夥伴應該都遇到過這種問題：在同時使用兩大神器OD(或Windbg)和IDA逆向某程式時，除錯中模組基址經常變化，而在IDA中預設為0x400000（或0x10000000），所以在除錯到某個點想到IDA整體對比分析一下的時候，發現計算地址真的好麻煩，特別時在經常需要計算的時候，這個問題尤為明顯。

通常步驟是：

1. 開啟calc.exe，切換到程式設計師項
2. 複製當前地址0xD60F00D，複製模組基址0x5200000，算出偏移0x840f00d
3. 複製IDA中對應模組基址0x10000000，加上剛才的偏移得到對應在IDA中地址，g跳轉到對應地址
4. 下次又要算一次，重複複製基址，減偏移，加偏移，如此往復。

煩不煩，累不累？不要急，上帝給了一束光，它來了！

0x02. 神奇工具

為了解決上面的問題，我其實思量了很久要寫個小工具的，但總是耽擱著。終於，最近還是把它弄出來了。

用上它之後，速度七十邁，除錯好能耐。

先看看它的美顏，質樸中帶著機靈，機靈中特著小調皮......

特色功能

• 支援回車快速計算
• 支援windbg 64位地址格式，如00007ff6`6cbe825b
• 支援多視窗多模組計算
• 支援32位、64位地址
• 自動判斷是否為16進位制資料，支援0x，h標記，如果是12345之類純數字無法判斷，最好直接勾選16進位制選框
• 支援10進位制和16進位制快速轉換（也支援回車快速計算哦！）

描述一次典型使用場景：

1. 複製除錯中模組基址貼上到基址(除錯)框
2. 複製IDA中模組基址貼上到基址(IDA)框
3. 複製除錯中某地址貼上到地址1（或地址2）
4. 回車，得到對應IDA中地址1（或地址2）以及偏移1（或偏移2）
5. 再次計算該模組其他地址，只需要重複3、4即可
6. 如果從IDA地址計算到除錯中，複製IDA地址到對應地址框，回車即可
7. 如果還需要計算其他模組地址轉換，點+按鈕新增視窗，重複1-6即可
8. 如果開視窗太多，在模組標記欄填入模組名字，防止混亂出錯

這樣一對比，可以想見效率高了多少，除錯中心情舒暢多少。

心動了嗎？趕緊拿起電話......

下載吧！

如有bug、意見和建議，歡迎反饋！反饋群：753894145。

廣告：歡迎關注公眾號漢客兒或QQ群（753894145），一起交流學習

[推薦]看雪企服平臺，提供安全分析、定製專案開發、APP等級保護、滲透測試等安全服務！