有时,由于编译器的优化或仅仅是隐藏字符串(例如在恶意软件中),字符串是在程序中动态构建的。例如:
当将字节显示为字符时,我们可以看到字符串
'INVALID FILE SIZE'。有谁知道一个脚本来提取IDA中的那些字符串?如果不存在,我会写一个,但我想先问一下。#1 楼
选择要转换的代码块,然后运行以下IDAPython函数。如果您不希望添加注释,请注释掉对MakeComm的调用。所选区域。#2 楼
使用IDAPython查找字节字符串这正是您从Assert MindshaRE寻找的内容。
有效地,此脚本将逐条指令地进行查找,以将ASCII字符移动到内存位置。它很有趣,并使用QT创建了一个交互式表,但是您可以删除该部分,并在要使用的指令上添加注释。
评论
很抱歉重复这个问题,这次我的Google技术使我失败了。感谢您的回答,脚本ASERT完全可以满足我的需求。