IDA分析失败修复技巧总结

call$+5:

直接使用patch修改为nop即可

{ jmp rax }:

使用IDA的switch修复工具 Edit -> other -> specify switch idiom

Address of jump table : 跳转表的地址 (0x1D88处点击进去可以看到)

Number of elemenet: 跳转表地址数 (0x1DAC处为5 填5+1=6)

Size of table element: 4 (地址字节数 0x1DB3 rax*4)

Element shift amount: 默认

Element base value: 跳转表地址

Start of the switch idiom: 获取地址表地址的地址

Input register of switch: 看0x1DAC的寄存器

First input value:默认

Defalut jump addres: 0x1DAF的跳转地址