如何找到內存中的字符串的位置（有物理偏移量）？

Question

我需要從惡意二進制文件中找到str[possibly n]cmp。問題是在拆解中有十億分之一。

我知道這是因爲字符串的幫助。我正在拆解一個沒有'otx'的二進制文件（爲你提供字符串的反彙編程序）

我需要知道如何在程序加載後找到這個字符串的內存偏移量，所以我可以使用gdb等

如果你能給我一個算法（我曾經記得的其他方式：phys off = virtual off * segment adress + segment offset - 或者諸如此類的話）（PS是正確的？:)）

或者，如果你能告訴我怎麼這是在ida親無限輕鬆，我將非常感謝

謝謝:)

Answer 1

在IDA中，只需加載文件並執行二進制搜索（按Alt + B），然後查看地址。您也可以通過按x來檢查對字符串的交叉引用。