您好,我尝试学习逆向工程,所以我使用 fromprocess hacker查看进程内存中的动态字符串...(更多信息)
我得到这样的东西:
Address Length Result
-----------------------
0x853978 (43): hello
0xfb5e1a8 (86): hello alex !
现在我想知道如何为他们获取/找到参考地址?
我尝试WinHex但我不能,我不知道我该怎么做,是否可以在文件形式的内存地址(例如:)中找到参考程序集地址,0x853978或者这无论如何都不可能。
任何人都可以帮忙吗?
当您使用 Process Hacker 查找字符串时,您将查看正在运行的进程。Process Hacker 遍历进程虚拟内存的映射部分,并尝试将它找到的所有内容解析为字符串。
当您使用 WinHex 查看您的二进制文件时,这些部分还没有被映射并被挤在一起进入二进制文件。
tl:博士;
使用另一个程序来检查字符串(例如 exe explorer、pe studio、ida、binaryninja 等),使用调试器在黑客告诉您的地址进程中查找字符串,或者利用节信息计算文件偏移量。
你能澄清一下你想要做什么吗?
编辑
如果你想在代码中找到对字符串的引用,你最好使用一个不错的反汇编器(binaryninja、radare2、ida pro)。它将向您显示它可以找到的参考资料:
