我需要从恶意二进制文件中找到str[possibly n]cmp。问题是拆卸中有十亿。
我知道这是因为字符串的帮助。我正在拆解一个没有'otx'的二进制文件(为你输入字符串的反汇编程序。
我需要知道如何在程序加载后找到此字符串的内存偏移量,以便我可以使用gdb等。
如果你能给我一个算法(我曾经记得另一种方式:phys off = virtual off * segment adress + segment offset - 或者那种效果)(ps是正确的吗:))
或者,如果你能告诉我这在ida pro中是多么容易,我会非常感激
谢谢:)
答案 0 :(得分:3)
在IDA中,只需加载文件并执行二进制搜索(按Alt + B),然后查看地址。您也可以通过按x来检查字符串的交叉引用。