标签: c++ x86 reverse-engineering disassembly
在拆卸时识别vtable有什么好的策略吗?现在,我正在使用蛮力扫描.rdata部分,查看指向代码部分的字节组合。我进一步检查然后看看它的目的地是否看起来像一个函数序言,但总体来说这种方法看起来效率不高并且容易产生大量误报。
我认为另一种方法是通过在代码部分中查找vtable引用来执行相反的操作,然后在它指向.rdata的位置开始解析但是再次出现问题。
所以只是好奇是否有比蛮力检查更有效的方法。