解析 PE 部分变量

逆向工程 聚乙烯
2021-06-22 13:25:04

我已经从 Windows 可执行文件中提取了 .rdata 部分。我想将节中包含的变量解析为易于理解的格式,例如:

char s[] = "hello world"
int i = 0

然而,似乎没有与变量关联的数据类型,因此简单地以十六进制编码变量数据可能更现实。

.rdata 部分中的数据是否以易于解析的格式存储?如果是这样,那会是什么?

2个回答

不,数据不容易解析。

最好的选择是使用反汇编程序(例如IDA Pro),它可以创建从代码到您.rdata部分中数据的交叉引用这可以帮助您更好地识别部分中的字符串、字节、单词和双字.rdata

https://samsclass.info/123/proj10/honeynet/honeynet-rev.html

编译成多个编译器的发布版本后,本地二进制文件中没有关于函数名或变量名的调试或符号信息,因此您转储的数据部分仅包含不同位置的变量值,手动不易找到变量,因此请使用调试器或反汇编器来简化您的工作,它可以让您看到根据对齐和大小分类和识别的不同变量。

其它你可能感兴趣的问题
上一篇汇编中的线程函数是什么样的?(LPTHREAD_START_ROUTINE,CreateRemoteThread) 下一篇如何使用 argv[0] 中的相对路径调试二进制文件?