二进制文件中奇怪的重复字符串“FeTFeTFeTFeTFeTFe...”

逆向工程 二元分析 字符串
2021-06-20 01:10:59

有时,在某些二进制文件中执行反向操作时,我会得到这种 ASCII 字符串:

00000000: 4665 5446 6554 4665 5446 6554 4665 5446  FeTFeTFeTFeTFeTF
00000010: 6554 4665 5446 6554 4665 5446 6554 4665  eTFeTFeTFeTFeTFe
00000020: 5446 6554 4665 5446 6554 4665 5446 6554  TFeTFeTFeTFeTFeT
00000030: 4665 5446 6554 4665 5446 6554 4665 5446  FeTFeTFeTFeTFeTF
00000040: 6554 4665 5446 6554 4665 5446 6554 4665  eTFeTFeTFeTFeTFe
00000050: 5446 6554 4665 5446 6554 4665 5446 6554  TFeTFeTFeTFeTFeT

它对应什么?

编辑:以下编辑器请求,澄清:当您使用逆向工程、静态分析风格时,有时您最终会得到无法运行的二进制文件,甚至由于奇怪的架构或缺乏已知入口点而无法在调试器/IDA 中加载. 因此,了解文件、节、字符串的内容非常有用。因此这个问题。

1个回答

在 IDA 中,如果您的代码具有对该内存地址的数据引用,您将获得上述内容。如果数据“可能是一个字符串”,IDA 的自动魔术类型猜测器就是这样做的。

所以,真正的数据可能是words, 或dwords,但因为它都在 ASCII 范围内,所以敲出一个大的史诗字符串。我倾向于跳转到那个位置,点击 undefine ( u),然后数据 ( d) 一次变成字节,然后等到我更好地理解数据布局/结构时。

其它你可能感兴趣的问题
上一篇ldd 只显示绝对路径 下一篇如何强制释放进程中的部分内存?