5.IDA-文本搜索、二进制搜索(16进制字节序列)、替换16进制

时间:2024-03-24 13:09:54

1.文本搜索

IDA文本搜索相当于对反汇编列表窗口进行子字符串搜索。通过Search▶Text(热键:ALT+T)命令启动文本搜索
5.IDA-文本搜索、二进制搜索(16进制字节序列)、替换16进制
选择Find all occurences(查找所有结果),IDA将在一个新的窗口中显示搜索结果,最后,使用CTRL+T或Search▶Next Text(Ctrl+T)命令可重复前一项搜索,以找到下一个匹配结果
文本搜索不一定准确,如以下汇编(IDA转换的),文本搜索是搜不到的(实际它对应的文字是:吾爱**汇编指令查询器)
[cpp] view plain copy
  1. .text:004016DC                 dd 0AEB0E1CEh, 0E2BDC6C6h, 0E0B1E3BBh, 0EEC1B8D6h, 0AFD1E9B2h  

2.二进制搜索

使用Search▶Sequence ofBytes(搜索▶字节序列)或ALT+B即可启动二进制搜索,

0.要搜索一个十六进制字节序列,应将搜索字符串指定为以空格分隔的两位十六进制值组成的列表(不区分大小写)
1.要搜索内嵌的字符串数据(有效搜索十六进制窗口中的ASCII字符串),你必须将搜索字符串用引号括起来,如果不括起来,会弹出提示
2.在搜索十六进制字节序列时,最好选中Case-sensitive选项,不然,如果对E9 41 C3进行不区分大小写的搜索,你会惊奇地发现,E9 61 C3出现在了搜索结果中。这是因为,0x41对应于字符A,而0x61则对应于字符a,所以IDA认为这两个字符串相互匹配。
3.使用CTRL+B或Search▶Next Sequence of Bytes(搜索▶下一个字节序列)可以搜索随后的二进制数据。
如搜索“吾爱**汇编指令查询器”
5.IDA-文本搜索、二进制搜索(16进制字节序列)、替换16进制

搜到后,跳转到004016DC,先Undefine,再把它转换成文字(按A或右键选择)(注意要先undefine才能转换)
然后文字就可以搜出来了


不要期望使用String窗口帮你列出来,还是老老实实搜比较靠谱

在进行十六进制搜索时,如果希望将搜索限定为完全匹配,你必须选中Case-sensitive选项。在你搜索特定的操作码序列而非ASCII文本时,这点尤为重要。

3.替换16进制

搜索完后,要替换2进制字符串,可以使用以下方式:
1.打开C32Asm.exe,以16进制加载
2.CTRL+F,输入要查找的16进制,输入要替换的16进制(保持它们长度一致)
3.选择全部替换即可
5.IDA-文本搜索、二进制搜索(16进制字节序列)、替换16进制

获得二进制16进制的方式
可以通过UE来操作,选中编辑▶16进制功能▶16进制复制选定视图即可