在拆卸时识别vtable

时间:2017-11-21 17:25:12

标签: c++ x86 reverse-engineering disassembly

在拆卸时识别vtable有什么好的策略吗?现在,我正在使用蛮力扫描.rdata部分,查看指向代码部分的字节组合。我进一步检查然后看看它的目的地是否看起来像一个函数序言,但总体来说这种方法看起来效率不高并且容易产生大量误报。

我认为另一种方法是通过在代码部分中查找vtable引用来执行相反的操作,然后在它指向.rdata的位置开始解析但是再次出现问题。

所以只是好奇是否有比蛮力检查更有效的方法。

0 个答案:

没有答案