ida字符串存储的小端序陷阱

最新推荐文章于 2023-03-21 16:48:10 发布
最新推荐文章于 2023-03-21 16:48:10 发布
阅读量745 收藏 1
点赞数 1
分类专栏: 技巧 文章标签: html5 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/amber_o0k/article/details/120659054
版权

小端序,英文名little endian

在ida f5查看伪代码后,如果看到 

_DWORD v4[7];

v4[0] = 0xD6C0B67;
  v4[1] = 0x175F4078;
  v4[2] = 0x3302058;
  v4[3] = 0x725D1244;
  v4[4] = 0x2E1F3441;
  v4[5] = 0x6847404D;
  v4[6] = 0x1B;

注意最开始的数据类型,这个数组不光要按照4字节左侧补零对齐,还要将每一组数据翻转拼接才能得到正确的字符串。ida并没有非常智能地帮你捋顺字符串,所以初学的话非常有迷惑性。

例如

v4[2] = 0x3302058;

应为0x03302058-->0x58,0x20,0x30,0x03

这道题后面还涉及前一位和后一位异或,如果字符串的顺序没整对,你离答案就越来越远了。

碰到字符串别偷懒,看汇编捋字符串

MOV             R3, #0x67 ; 'g'
STRB            R3, [R11,#var_4C]
MOV             R3, #0xB
STRB            R3, [R11,#var_4B]
MOV             R3, #0x6C ; 'l'
STRB            R3, [R11,#var_4A]
MOV             R3, #0xD
STRB            R3, [R11,#var_49]
MOV             R3, #0x78 ; 'x'
STRB            R3, [R11,#var_48]
MOV             R3, #0x40 ; '@'
STRB            R3, [R11,#var_47]
MOV             R3, #0x5F ; '_'
STRB            R3, [R11,#var_46]
MOV             R3, #0x17
STRB            R3, [R11,#var_45]
MOV             R3, #0x58 ; 'X'
STRB            R3, [R11,#var_44]
MOV             R3, #0x20 ; ' '
STRB            R3, [R11,#var_43]
MOV             R3, #0x30 ; '0'
STRB            R3, [R11,#var_42]
MOV             R3, #3
STRB            R3, [R11,#var_41]
MOV             R3, #0x44 ; 'D'
STRB            R3, [R11,#var_40]
MOV             R3, #0x12
STRB            R3, [R11,#var_3F]
MOV             R3, #0x5D ; ']'
STRB            R3, [R11,#var_3E]
MOV             R3, #0x72 ; 'r'
STRB            R3, [R11,#var_3D]
MOV             R3, #0x41 ; 'A'
STRB            R3, [R11,#var_3C]
MOV             R3, #0x34 ; '4'
STRB            R3, [R11,#var_3B]
MOV             R3, #0x1F
STRB            R3, [R11,#var_3A]
MOV             R3, #0x2E ; '.'
STRB            R3, [R11,#var_39]
MOV             R3, #0x4D ; 'M'
STRB            R3, [R11,#var_38]
MOV             R3, #0x40 ; '@'
STRB            R3, [R11,#var_37]
MOV             R3, #0x47 ; 'G'
STRB            R3, [R11,#var_36]
MOV             R3, #0x68 ; 'h'
STRB            R3, [R11,#var_35]
MOV             R3, #0x1B
STRB            R3, [R11,#var_34]

RAVEN_1452
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ida可以将汇编编译成C语言吗,IDA反汇编学习-转此博文包含图片
weixin_30916461的博客
05-19 5185
dll文件如何反汇编成源码,C++语言编写手上有个dll文件,用C++写的。现在想看到源码,网上查了资料,说最多可...动态调试,你加载DLL文件,然后跟进去。这种方法适合逆向DLL中某个特定的导出函数代码。静态反汇编分析,那也挺累的。 看你反汇编的意图,最好用Lord Pe 加载一下,查看一下导出表中的函数,使用第一种方法。。用IDA反汇编后变成的C代码出现 *(_DWORD *)a是什么意思咯...
re之ida和OllyDbg的使用与代码分析
qq_54929422的博客
02-07 1471
re之ida和OllyDbg的使用与代码分析Section1 两个逆向工具的作用:Section2 ida伪代码分析Section3 OllyDbg的基本操作 这里是ctf逆向小白学习之路的第一站 Section1 两个逆向工具的作用: 1:IDA pro7.0是完整版本 7.2只有64 f5可以查看源码,6.8 pro的有些文件grapf view不能分析,作用:静态调试,32位的程序用32位的ida分析 2:OllyDBG,作用:动态调试,只能调试32位的程序 Section2 ida伪代码分析
IDA 中对内存小端逆序的理解
沐一 · 林 的博客
02-09 2343
目录 大端顺序和小端顺序: 低字节和高字节:(左高右低) 小端顺序: 大端顺序: 小端变量以最小拆分单位逆序摆放: 那么我们扩展到 CTF 逆向中: 最后附上我常规测试代码: 大端顺序和小端顺序: 低字节和高字节:(左高右低) 在编程语言中,字符一般是占16位,8位为一字节,所以有高位字节和低位字节。 一个16进制数由1个字节组成,例如:A9。 高字节就是指 16 进制数的前 4位(权重高的 4位),如上例中的 A。 低字节就是指 16 进制数的后 4位(权重低的...
IDA理解:(*(void (__stdcall **)(volatile signed __int32 *))(**(_DWORD **)v16 + 4))(v16);
Michael
03-10 522
1. *(_DWORD **)v16:将指针 v16 强制转换为 _DWORD ** 类型,然后取出指针所指向的 _DWORD * 类型的值,再取出该值所指向的 _DWORD 类型的值。*(void (__stdcall **)(volatile signed __int32 *)):将上一步得到的地址强制转换为一个指向函数指针的指针,该函数指针的参数为 volatile signed __int32 * 类型,返回值为 void 类型,调用约定为 __stdcall。
IDA dword_xxx DCD 0xxxx用十六进制数表示的字符串解读
AndroidDeveloper的专栏
12-30 3910
使用IDA静态解读代码的时候经常会遇到 dword_746D0 DCD 0x5A2928 类似这种情况。实际上右边的0x5A2928代表的是字符串的十六进制模式,在以下网站可以直接解码 https://www.bejson.com/convert/ox2str/ 我们发现解码后是Z)( 让我们从后往前面解读那就是 ()Z 熟悉Smali的人一定不陌生这个字符串的含义,那就是一个无参返回为bool类型的函数签名 ...
IDA 字符串解密脚本
BpLife
11-21 5466
.text:10116143 BF 20 A1 18 10                    mov     edi, offset unk_1018A120 .text:10116148 BA 28 B1 18 10                    mov     edx, offset aKLVljqKqvyTy ; "k]L}VLJQ]KqVy[Ty" 这两个地址字符串被加密了
Stingray:IDAPython插件,用于递归查找函数字符串
05-04
黄貂鱼 Stingray是用于查找函数字符串IDAPython插件。 从当前功能的当前位置开始搜索。 它也可以使用可配置的搜索深度来递归地执行此操作。 结果顺序是BFS搜索图中字符串的自然顺序。 对于找到的每个字符串,它...
xor字符串加密
05-30
xor字符串加密 预编译加密字符串,可以防止OD,IDA破解分析 调用 printf(xorstr_("hello"));
Python-用于从字符串常量中提取信息的IDAPython脚本
08-10
用于从字符串常量中提取信息的IDA Python脚本
每天一个IDA小技巧(十一)IDA脚本基础和IDC1
08-03
在IDC中,字符串是内置类型,处理字符串时无需像C语言那样考虑内存管理和零终止符。例如,"Hello" + "World" 直接拼接成"HelloWorld"。字符串的切片运算符类似于数组访问,允许提取子序列。 IDC的语句结构与C语言...
每天一个IDA小技巧(四)结构体识别1
08-03
第三个复选框Creat union(创建联合),指 第一个字段为 第二个字段应为1个字 第一种方法有些不太正规,即将.til文件由打开的数据库复制到
Tool_RE_IDA基础字符串修改
CheAyuki13的博客
07-31 3133
字符串查找按住键盘组合键 shift + f12 打开字符串窗口,包含所有字符串,双击进去会找到选定字符串的内存地址,字符串修改1.选中字符串,在Hex dump修改对应内存地址内容(PS关于16进制可以在百度百科搜索ascii码表2.要将hello 52pojie!对应的hex是:68 65 6C 6C 6F 20 35 32 70 6F 6A 69 65 21改成hello world!在a...
【逆向基础】四、IDA使用技巧随记
幸福之家的博客
03-21 986
计算PE文件偏移地址
数据的存储(2)大小端字节序存储
Elon_520的博客
01-04 967
学习小结
数据在内存中的存储大小端字节序
qq_55829345的博客
10-03 274
大小端字节序以及数据在内存中的存储和char型数值运算。
HSC-1th writeup
02-21 5021
HSC-1th 2022
IDA-自定义字符串编码类型
counsellor的专栏
12-28 1891
最近在使用IDA时,发现有些字符串的标记是text不是db,并且undefine之后,按’A’键转换不成text格式的字符串,甚至根本不是完整的字符串。这个text到底是什么,改如何转换此类字符串呢?
ida 字符串查找_IDA的常见操作
热门推荐
weixin_29663547的博客
01-13 1万+
IDA-python的使用:常用的apiget_bytes(address,count)从address处读取count个字节的内容patch_bytes(address,buf),将adress地址处patch成buf的内容Xrefsto(address,flags=0) 找到所有引用了adress的地址byte(address) 获取address地址的一个字节的内容一些IDA常用的快捷键:跳...
IDA中的_OWORD
msInfoSec的博客
04-15 6409
IDA中的_OWORD 一个有意思的巧合 _OWORD的含义 总结 阅读之前注意: 本文阅读建议用时:5min 本文阅读结构如下表: 项目 下属项目 测试用例数量 一个有意思的巧合 无 0 _OWORD的含义 无 1 总结 无 0 一个有意思的巧合 正如我们所知道的那样,在英文中的月份缩写中,OCT代表着十月(October),而DEC代表着十二月(Decembe...
ida怎么查找汉字字符串
最新发布
05-13
IDA可以通过搜索内存中的字符串来查找汉字字符串。具体步骤如下: 1. 打开IDA,加载要分析的二进制程序。 2. 在IDA的菜单栏中选择“View”,然后选择“Open subviews”,最后选择“Strings”。 3. 在Strings窗口中,IDA会列出程序中所有的字符串,包括ASCII和Unicode字符串。在右侧的搜索框中输入关键字,比如“中文”,然后按回车键。 4. 如果程序中存在包含“中文”的字符串IDA会将其列出。双击字符串可以查看其出现的位置和引用信息。 5. 如果需要进一步分析字符串相关的代码,可以在IDA的反汇编窗口中搜索字符串的引用,然后分析引用处的代码逻辑。 需要注意的是,如果程序使用了加密或混淆技术来隐藏字符串,可能需要先解密或还原字符串才能查找到汉字字符串

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值