disassembly

1熱度

1回答

我有一個使用objdump反彙編工具反彙編的二進制文件。我想知道如何才能提取存在於objdump輸出文件中的全局變量的數據類型？

0熱度

1回答

我試圖從1C盤 file RailRoads.exe >>PE32 executable (GUI) Intel 80386, for MS Windows sudo crossdev i386-pc-mingw32 i386-pc-mingw32-objdump -D RailRoads.exe > RailRoads.dump >>Aborted i386-pc-mingw32-ob

9熱度

2回答

反彙編自修改代碼

我一直在想 - 如何反彙編自修改二進制文件？我想你不能使用olly或IDA，因爲它們是靜態的反彙編，對嗎？如果跳到教學中間，反彙編器會發生什麼？那麼如何分析變質引擎？

1熱度

1回答

如何獲取一條機器指令寫入的地址？

現在我已經從EIP寄存器獲得了機器指令地址。這個機器指令可以改變某個區域的內存的值，我想要但不能得到這個內存的地址。當然，我可以從機器指令的地址讀取數據，但內容是機器指令，如：0x8b0c4d8b ......，它是不可讀的（我不能使用gdb等調試工具）。如何獲取一條機器指令將寫入的地址？

6熱度

4回答

是否有任何IL編輯器來更改程序集的字節碼？

我發現在舊的第三方組件的一些缺陷，我們正在使用我們的代碼decompilind他們。我想修復它們，但由於我沒有源代碼，我需要直接修改字節碼。這些更改非常簡單（爲OR更改AND和NOPing某些行）。是否有一個編輯器做這樣的事情？做一個十六進制編輯器的工作將是最後一個選項，我會preffer有一些指示，我有什麼指示周圍的光標...

2熱度

2回答

爲什麼我的shellcode不能工作（在Linux中）？

我寫了下面一個小的shellcode： #include <stdlib.h> int main() { __asm__("jmp calloffset\n" "poploffset: popl %%esi\n" "movl $1,%%eax\n" "movl $6,%%ebx\n" "int $0x80\n" "call

13熱度

2回答

需要幫助瞭解E8 asm調用指令x86

我需要幫助才能理解以下彙編指令。在我看來，我打電話給某個未知值+ = 20994A的地址？ E8 32F6FFFF - call std::_Init_locks::operator=+20994A

2熱度

1回答

objdump和udis86在拆分/ proc/kcore時產生不同的輸出

我需要在Linux中反彙編/proc/kcore文件，我需要獲得一些特殊指令的虛擬地址，以便稍後將kprobes放在它上面。據this document/proc/kcore是物理內存的圖像，但在this question有人回答說，它是內核的虛擬內存（正是我所期待的）。當我使用objdump工具進行反彙編時，它開始於類似f7c0b000的地址，但udis86以0x0（以及完全不同的指令）開頭。

1熱度

1回答

IDA組件修補失敗，「無法從當前位置到達目標」

我是IDA（和逆向工程）中的新手。我試圖在編輯 - >修補程序菜單中使用「修補程序 - >程序集」選項，但它失敗，出現一個我無法理解的錯誤。我的當前行是「jnz short func」（其中func是我從loc_xxxx重命名的標籤），我試圖將其更改爲「jmp short func」，但是當我單擊確定時，該消息：「無法從當前位置到達目的地」。任何人都可以解釋這是什麼意思，爲什麼它不工作？我試

2熱度

2回答

通過TDisAsm實例入口點，指針和反彙編

使用由Russell Libby提供的DisAsm32，分解過程/函數/方法只是將（一致的）指針傳遞給procedure TDisAsm.Disassemble(Address: Pointer; Size: Cardinal = 0);。到目前爲止，我已經設法反彙編任何程序/方法，即使是從一個加載的外部模塊（BPL/DLL）提供它們適當的出口。從目前的進程（由Windows加載器加載的EXE