[IDA]结构体指针的转换

[IDA]结构体指针的转换

今天在分析恶意代码时，发现其复制一份PE文件，其对PE头部进行许多步处理，但是IDA并不能识别这些变量，因此需要我们手动来添加，但是随之而来的一个问题是，IDA有标准的PE结构体，但是却没有指针，因此我们就需要重定义变量。

 

一、如何判断对PE文件的操作

结合之前分析这是一个复制文件操作，我们合理怀疑这是一个PE文件。

然后我们查看到其分别判断MZ与PE，验证我们的怀疑。

二、导入标准结构体

转到struct窗口，按insert键插入结构体，里面有标准结构体，我们搜索到需要用到的。

三、将变量转换为结构体指针

对准变量按住Y键，表示重定义变量声明，我们将其声明一个结构体。

四、重命名变量

之后对变量按N键来重命名变量，这样我们就很容易分析其数据。