ida 修改堆栈平衡

逆向分析时遇到 IDA 报错

positive sp value has been found

解决方法

1)用Option->General->Disassembly, 将选项Stack pointer打勾
2)仔细观察每条call sub_xxxxxx前后的堆栈指针是否平衡;使用alt+k调节sp的偏移值
3)有时还要看被调用的sub_xxxxxx内部的堆栈情况,主要是看入栈的参数与ret xx是否匹配;
4)注意观察jmp指令前后的堆栈是否有变化;
5)有时用Edit->Functions->Edit function…,然后点击OK,(按D再按C键)刷一下函数定义。

参考

IDA pro分析的常见问题

发表评论