我试图对32位剥离的,动态链接的ELF可执行文件进行反向工程。我想知道何时将特定字符串打印到控制台。我运行了以下命令:

root@testbox> strings -a --radix=x binfile | grep -i reset
d38c4  RESET


这是我想知道何时打印到控制台的字符串。这可能与printf或puts一起发生(在执行流程中被多次调用)

使用字符串的内存地址来告知何时读取字符串的适当方法是什么(因此打印到屏幕)?

#1 楼

您可以通过更简单的方式找到模式的加载地址

objdump -s "executable" | grep -i "pattern"


通过

x/s "*(returned address from objdump)"

与gdb确认