ollydbg中加载的DLL基地址确定 IDA里IDA:Edit->segments->Rebase program去设置同步

ollydbg在工具栏E里点击，找到加载的DLL，可以看到基地址，例如下面的就是6CBE0000，IDA里IDA:Edit->segments->Rebase program去设置同步即可！

 

 

 

 

 

 

好了下面是一些摘录：

 

1.日志窗口(L):
2.模块窗口(E):查看每个模块的内存基址

在恶意代码分析实战里也提到过：

 

 

 DLL2基地址为003D0000，DLL1基地址为10000000。这与上一题StudyPE中查看的结果不同，这是由于PE装载所导致的。

同样，在windbg里也是类似的思路！

IDA：修改基址让.dll库的地址与windbg保持同步（IDA:Edit->segments->Rebase program,Windbg:Debug->modules查看地址）
IDA：\可以选择隐藏函数中变量类型，使得函数看起来更简洁。
左侧IDA, 右侧windbg

在这里插入图片描述
Windbg：Debug->Event Fliter选择忽略运行调试中的指定错误。