我们都知道在x86 arch中,数据和代码混合在内存或磁盘中。但是如何告诉他们?
纸张需要这种方法,我不希望100%准确。 80%没问题,即使是一些想法也没问题。)
答案 0 :(得分:4)
统计确定哪些命令在可执行文件中很常见。
EG。一些命令可能是加/减等。
对于未知的二进制序列,将其视为机器代码,并查看所使用的各种命令的频率(这里您可以假设命令在字节边界处正确启动)。
如果使用了无效的命令,显然它不是机器码。
否则,查看所用命令的百分比频率是否与通常情况相符。
此外,当使用接受地址(例如寄存器或存储器/数据位置)的命令时,记录它们。然后检查附近是否有相同的位置。
这可以通过对使用频率下降所使用的任何数据位置进行排序来完成,并且可以看到降低频率的形状与通常情况相符。
数据(非机器代码)不太可能与这些统计测试相匹配。
请注意,当我说合适时,你可以检查非常宽松的合身。即使它是正常的,它可能仍然是代码,除非在统计上几乎没有相关性。
答案 1 :(得分:0)
请参阅Is all data valid x86 16-bit machine code?。
ndisasm -m 32 > program.dump(当然适用时使用16,32或64)cut -b29- < program.dump > program.dump2 grep -v '^$' < program.dump2 > program.asm grep -l '^db' < program.asm > /dev/null; echo $? 0,则并非所有说明(grep都找到了某些内容)。如果你不这样做,那就是:)