GetProcAddress + IDA Renaming

VRT-Blog : Using the Immunity Debugger API to Automate Analysis

예전부터 생각했던 부분이었는데 누군가 만들어 놨다. 

IDA에서 보이지 않던 정보를 Immunity Debugger Tracing을 통해 획득후 이를 txt 파일로 저장해 IDA Script로 Load해서 자동 Renaming하는 것이다. 

조금 의견을 추가 한다면 GetProcAddress( )를 통해 API를 추출하는 것과 비슷한 방식으로

특정 주소값에서의 구조체 정보를 저장하는 형태도 연구하면 추적이 어려운 큰 크기의 구조체

에 대해서 쉽게 확인할 수 있지 않을까 생각해 본다. 

지금 생각해 보니 그냥 특정 위치에서 BP 후 메모리 덤프하고 해당 내용을 확인하는게 더 빠를 듯도 하다..ㅋㅋ