大佬教程收集整理的这篇文章主要介绍了windows – IDA Pro反汇编显示?而不是.data中的hex或plain ascii?,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
@H_62_21@mov esi,dword_xxxxxxxx
我需要知道dword是什么,但是双击它会把我带到.data页面,所有内容都有问号.
我如何获得应该存在的纯文本?
PE文件中的节具有物理大小(由节头的SizeOfRawData字段给出).这个物理大小(在磁盘上)可能与部分的大小不同,一旦它由Windows’加载器映射到进程内存(此大小由节头的VirtualSize字段给出).
因此,如果VirtualSize字段大于SizeOfRawData字段,则该部分的一部分没有物理存在,并且它仅存在于内存中(一旦将文件映射到进程地址空间).
在大多数情况下,在程序入口点,您可以假设此内存填充为0(但内存的某些部分可能由Windows加载程序写入).
要获取正在写入,读取或加载数据的位置,可以使用交叉引用(xref).这是一个例子:
然后按’x’,您将看到所有已知(到ida)使用数据的位置:
第二列指示数据的使用方式:
> r表示它被读取> w表示它是写的> o表示它作为指针加载
以上是大佬教程为你收集整理的windows – IDA Pro反汇编显示?而不是.data中的hex或plain ascii?全部内容,希望文章能够帮你解决windows – IDA Pro反汇编显示?而不是.data中的hex或plain ascii?所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。