IDA分析dmp文件怎么开始 IDA分析dmp文件模块基址怎么校准

很多人拿到dmp文件以后，第一反应是直接找崩溃函数，但dmp和普通可执行文件不一样，它记录的是某个时刻的进程或系统内存状态，不是完整的原始程序工程。Hex-Rays官方文档明确说明，IDA可以通过Windmp loader直接装入Windows Crash Dump，也可以在静态分析之外，把dump放到windbg debugger module环境里继续看模块、线程和栈信息，所以开局顺序走对比一上来乱点窗口更重要。

一、IDA分析dmp文件怎么开始

IDA分析dmp文件怎么开始，关键不是先找伪代码，而是先把dump以合适方式装进去，再把数据库体量和符号加载范围收住。官方Windmp loader页面写得很清楚，dmp可以直接载入做静态分析，但大体积dump会生成很大的数据库，因此手动加载选项本身就是第一层筛选。

1、先确认文件就是Windows Crash Dump

Hex-Rays官方支持文件格式列表明确把Windows Crash Dump也就是DMP列在IDA可处理格式里，所以这类文件不需要先转成别的格式再分析。先确认你手上的确是dmp，再走Windmp loader，会比把它当普通binary手工硬装更稳。

2、先把Windmp loader的前提补齐

官方说明Windmp loader依赖Microsoft Debugger Engine Library，也就是dbgeng.dll，这个路径可以在IDA.CFG里的DBGTOOLS项下指定；如果没写，Windmp会尝试自动探测。所以dmp一直装不顺时，先查dbgeng.dll路径，比先怀疑样本损坏更有效。

3、大文件先用手动装载选项收范围

Windmp支持三类很实用的控制项，也就是只加载模块相关段、跳过符号名加载，以及跳过超过指定大小的段。官方说明这三项就是为了降低大dump的数据库体量和加载时间，所以第一次开大型dmp时，通常不需要把所有内存段一次性全吞进去。

4、装入后先看模块和线程，不先追单条指令

Hex-Rays早期发布说明提到，crash dump载入后可以进入熟悉的debugger环境，查看模块、线程和栈窗口，只是不能继续恢复执行。对dmp来说，这一步很关键，因为你先看清当前有哪些模块、线程停在什么位置，再回到反汇编窗口，会比直接顺地址翻代码更容易收主线。

二、IDA分析dmp文件模块基址怎么校准

IDA分析dmp文件模块基址怎么校准，重点不是只记一个imagebase数字，而是先分清当前数据库里的地址，是文件默认装载地址，还是dump里的实际运行地址。Hex-Rays官方关于rebasing的说明写得很直接，程序载入后会占据一段地址范围，这个最低地址通常就是imagebase；如果当前地址和实际运行地址不一致，就要手动rebase。

1、先在模块视图里对照当前模块范围

官方debugger文档说明，Modules window会列出当前进程加载的全部模块。对dmp来说，这个窗口就是校基址的第一手参照，因为你能先看到模块名，再对应它当前装载范围，而不是在反汇编页里凭感觉猜。

2、整镜像都偏时用Rebase program

如果你确认整个模块或整个程序的基址统一偏了一段，Hex-Rays官方建议用Edit里的Rebase program。这里既可以直接填新地址，也可以填整体偏移量；同时还有Fix up relocations和Rebase the whole image相关选项，用来一起调整跟装载地址相关的引用。

3、只有单个段偏时用Move segment

如果不是整镜像错位，而是某个段单独放错了，官方文档说明可以用Move segment把选中的段挪到目标地址。这个动作适合局部修正，但官方也提醒，地址一变，反汇编结果可能失效，所以只在你确定这一段确实装错时再动它。

4、校准后再回头看交叉引用和函数边界

官方文档说明，无论是Rebase program还是Move segment，都会影响引用关系；如果不修正重定位，引用可能直接错掉。所以模块基址一旦校完，不要马上下结论，先回到函数和交叉引用上再看一轮，确认当前地址体系已经顺了。

三、IDA分析dmp文件视图和模块怎么对应

IDA分析dmp文件视图和模块怎么对应，真正影响效率的，不是窗口开得多不多，而是每个窗口各看哪一层。官方文档已经把模块窗口、线程窗口、栈窗口和段相关操作分开列出来，这本身就在提醒你，dmp分析更适合按模块、线程、地址三层往下收，不要把所有信息都堆到一个反汇编页里看。

1、模块窗口负责定范围

先用Modules window看当前有哪些模块和模块边界，再决定先从主程序模块还是第三方模块切进去。这样可以先把分析对象收窄。

2、栈窗口负责定现场

Stack Trace window用来还原当前调用路径，官方说明它会显示把程序带到当前指令的函数调用链。看dmp时，这个窗口很适合先判断崩溃点前的主调用方向。

3、段操作负责校地址

当你发现当前代码位置明显不像该模块内容时，就不要继续硬读，而是回到段和重定位操作上，看是不是需要整体rebase或局部move segment。这样能少走很多弯路。

4、反汇编窗口负责落细节

等模块范围、线程现场和基址关系都对上以后，再回到反汇编窗口读具体函数，效率会高很多。因为这时地址体系已经基本稳定，看到的函数和引用也更容易对得上。

总结

IDA分析dmp文件，开局更稳的顺序是先用Windmp loader把dump装进去，再根据文件体量决定是否只加载模块段和是否跳过符号。模块基址校准时，则先看模块窗口里的实际模块范围，再决定是整体Rebase program，还是局部Move segment。把装载、校址和视图分工这三层拆开以后，dmp在IDA里的分析会清楚很多。