大家好,欢迎来到IT知识分享网。
前言:
在《核心工程逆向原理》中看到的,记录一下,所有流程都是以Hello World.exe为例
正文:
1.代码执行法
注:仅适用于被调试的代码量不大、且程序功能明确的情况
原理:程序功能非常明确时,逐条执行指令来查找所需查找的位置
2.字符串检索法
鼠标右键菜单–Search for–All referenced text strings
当OD载入程序时,会经历一个预分析过程。这个过程中,程序中被引用的字符串和被调用的API都会被摘录出来,整理至另外一个列表中。
使用All referenced text strings命令会弹出一个窗口,其中列出了程序代码所引用的字符串,如图:
地址处的PUSH 004092A0命令即是引用字符串”Hello World”。双击字符串,光标会定位到main()函数中调用MessageBoxW()函数的代码处。
在Dump窗口使用Go to(Ctrl+G)命令,可以进一步查看内存4092A0地址处的字符串,如下图:
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/147230.html
