IDA.【转】5.IDA

2024-05-10 03:34| 来源: 网络整理| 查看: 265

http://blog.csdn.net/cosmoslife/article/details/53024007

ZC: 测试了一下，感觉只有GB2312的常量是能够被IDA检测到的，UTF8的常量 IDA的"Search --> sequence of bytes..."也查不到（显示是乱码）（Qt532中验证过UTF8的char数组数据是正确的）...

ZC: 上面我是通过 "Search --> sequence of bytes..."，直接输入英文双引号 + 中文，进行搜索的。也可以直接使用 16进制数组成的字符串进行搜索，格式是xx xx xx（不过IDA的搜索功能是搜索IDB数据库中的对应字符串）。

　　ZC: 使用这种方式的话，也可以直接使用WinHex、UltraEdit、EditPlus(这个不知道行不行)，来进行搜索

　　ZC: 使用该方式的话，就无所谓 GB2312还是UTF8等编码了，直接搜字符串对应编码的16进制串就行了。（IDA中尝试了，也是可以的）

http://blog.csdn.net/hgy413/article/details/6956847

目录(?)[-]

文本搜索二进制搜索替换16进制 1.文本搜索 IDA文本搜索相当于对反汇编列表窗口进行子字符串搜索。通过Search▶Text（热键：ALT+T）命令启动文本搜索

选择Find all occurences（查找所有结果），IDA将在一个新的窗口中显示搜索结果，最后，使用CTRL＋T或Search▶Next Text（Ctrl+T）命令可重复前一项搜索，以找到下一个匹配结果文本搜索不一定准确，如以下汇编（IDA转换的），文本搜索是搜不到的（实际它对应的文字是：吾爱破解汇编指令查询器） [cpp] view plain copy

.text:004016DC dd 0AEB0E1CEh, 0E2BDC6C6h, 0E0B1E3BBh, 0EEC1B8D6h, 0AFD1E9B2h 2.二进制搜索使用Search▶Sequence ofBytes（搜索▶字节序列）或ALT+B即可启动二进制搜索, 0.要搜索一个十六进制字节序列，应将搜索字符串指定为以空格分隔的两位十六进制值组成的列表（不区分大小写） 1.要搜索内嵌的字符串数据（有效搜索十六进制窗口中的ASCII字符串），你必须将搜索字符串用引号括起来,如果不括起来，会弹出提示 2.在搜索十六进制字节序列时，最好选中Case-sensitive选项，不然，如果对E9 41 C3进行不区分大小写的搜索，你会惊奇地发现，E9 61 C3出现在了搜索结果中。这是因为，0x41对应于字符A，而0x61则对应于字符a，所以IDA认为这两个字符串相互匹配。 3.使用CTRL＋B或Search▶Next Sequence of Bytes（搜索▶下一个字节序列）可以搜索随后的二进制数据。如搜索“吾爱破解汇编指令查询器”

搜到后，跳转到004016DC，先Undefine，再把它转换成文字（按A或右键选择）（注意要先undefine才能转换）然后文字就可以搜出来了不要期望使用String窗口帮你列出来，还是老老实实搜比较靠谱在进行十六进制搜索时，如果希望将搜索限定为完全匹配，你必须选中Case-sensitive选项。在你搜索特定的操作码序列而非ASCII文本时，这点尤为重要。 3.替换16进制搜索完后，要替换2进制字符串，可以使用以下方式： 1.打开C32Asm.exe，以16进制加载 2.CTRL+F，输入要查找的16进制，输入要替换的16进制（保持它们长度一致） 3.选择全部替换即可

获得二进制16进制的方式可以通过UE来操作，选中编辑▶16进制功能▶16进制复制选定视图即可

【本文地址】

公司简介

联系我们