逆向工程 - 在radare2中查找对字符串的引用 - 吾爱随笔录

在radare2中查找对字符串的引用

逆向工程雷达2

2021-06-13 03:48:47

在这个crackme解决方案中，首先找到了字符串：

$ rabin2 -z crackserial_linux

addr=0x00000aa0 off=0x00000aa0 ordinal=000 sz=7 len=7 section=.rodata type=A string=User:
addr=0x00000aa7 off=0x00000aa7 ordinal=001 sz=11 len=11 section=.rodata type=A string=Password:
addr=0x00000ab2 off=0x00000ab2 ordinal=002 sz=10 len=10 section=.rodata type=A string=Good job!
addr=0x00000abc off=0x00000abc ordinal=003 sz=10 len=10 section=.rodata type=A string=Try again

在寻找“干得好”的引用之后。

$ radare2 crackserial_linux

 -- How about a nice game of chess?
[0x080488c4]> /c ab2
f hit_0 @ 0x08048841   # 5: push 0x8048ab2
[0x080488c4]>

我尝试了同样的事情，但对我来说不起作用：

$ r2 crackserial_linux
[0x080488d0]> !!rabin2 -z crackserial_linux
[strings]
addr=0x08048d80 off=0x00000d80 ordinal=000 sz=7 section=.rodata string=User:
addr=0x08048d87 off=0x00000d87 ordinal=001 sz=9 section=.rodata string=Serial:
addr=0x08048d90 off=0x00000d90 ordinal=002 sz=10 section=.rodata string=Good job!
addr=0x08048d9a off=0x00000d9a ordinal=003 sz=10 section=.rodata string=Try again

4 strings
[0x080488d0]> /c d90
[0x080488d0]>

顺便说一句，为什么我的情况下的字符串在不同的位置？

2个回答

还有axt：

使用 likeaxt @ hello_world_n为您提供参考。

更新：

正如 Daniel W Crompton 所评论的那样，该/c命令已重新分配给axt用于查找引用的加密内容。

[0x140035bf0]> !radare2 -v
radare2 4.3.1 6 @ windows-x86-64 git.4.3.1
commit: 54ac837b5503f10f91e2069ac357791f7a3e635a build: Fri 03/06/2020__15:52:24.93
[0x140035bf0]> /c?
Usage: /c   Search for crypto materials
| /ca                 Search for AES keys expanded in memory
| /cc[algo] [digest]  Find collisions (bruteforce block length values until given checksum is found)
| /cd                 Search for ASN1/DER certificates
| /cr                 Search for ASN1/DER private keys (RSA and ECC)

原来的：

从您最近发表的几篇帖子来看，您似乎没有正确安装可能是您应该尝试卸载并重新安装radare2 软件包

推荐本身似乎对我来说在这里正常工作：

radare2-w32-0.9.9> cat xxx\helloworld.cpp

#include <stdio.h>
int main (void) {
  printf("hello world\n");
  return 0;
}

radare2-w32-0.9.9> radare2 xxx\helloworld.exe
[0x00401347]> iz~hello world  
    vaddr=0x0041218c paddr=0x0001118c ordinal=000 sz=13 len=12 section=.rdata type=a string=hello world\n

/c使用模式匹配 using1118c不会给你任何结果 using18c会喷出很多结果，然后再问为什么（这是盲目跟随你的/d90或/ab2属于这一类的缺点之一）

让我们搜索虚拟地址的外部参照

[0x00401347]> /c 41218c
0x00401003   # 5: push 0x41218c

围绕打击拆开

[0x00401347]> pd 5 @0x401000
           ;-- section..text:
           0x00401000    55             push ebp               ; 
           0x00401001    8bec           mov ebp, esp
           ;-- hit0_0:
           0x00401003    688c214100     push str.hello_world_n ; "hello world."
           0x00401008    e807000000     call 0x401014 ;0x00401014(unk, unk)
           0x0040100d    83c404         add esp, 4

其它你可能感兴趣的问题

上一篇是否有任何适用于 Windows 7 / NT 6.x 的 OllyDbg 反调试/反反调试插件？下一篇如何在野外发现漏洞（尤其是缓冲区溢出）？