交叉引用深度

我们之前介绍过交叉引用的基本用法，但在某些情况下，它们可能不会如您所期望的那样表现。

访问大型数据项

如果有一个大型结构体或数组，代码在其中深层次地读取或写入数据，您可能不会在结构体定义中看到来自该代码的交叉引用。

示例

例如，在Microsoft CRT函数__report_gsfailure中，有对ContextRecord变量（一个_CONTEXT结构体实例）的字段_Rip和_Rsp的写入，但如果我们检查ContextRecord的交叉引用，我们不会看到这些写入被列出。

这是因为这些字段距离结构体的起始位置较远（偏移量为0x98和0xF8）。

作为一种速度优化，IDA仅检查对大型数据项的直接访问，深度有限。默认值是16(0x10)，因此任何超出该偏移量的访问将不会显示。可以通过选项 > 常规… 交叉引用选项卡更改当前数据库的值。

例如，将其设置为256后，对_Rip和_Rsp的访问在ContextRecord的交叉引用中显示出来：

要更改所有新数据库的限制，请在ida.cfg中更改参数MAX_TAIL。