Radare2調用$ + 5和找不到基於寄存器的交叉引用

題:

Fabian Mendez

2018-10-15 06:09:57 UTC

view on stackexchange narkive permalink

我有一個約65MB的庫，它使用這種“技術”作為PIC。

首先，它獲取某種基址（始終相同）：

  0x00708497 e800000000調用0x70849c0x0070849c 5b pop ebx0x0070849d 81c3ac442601 add ebx，0x12644ac

然後用於引用字符串或全局變量：

  0x007084bc 8d832e29a8ff lea eax，[ebx-0x57d6d2]

那麼，有沒有分析命令可以找到這些引用？

一回答:

Igor Skochinsky

2018-10-18 00:22:37 UTC

view on stackexchange narkive permalink

radar的GitHub上有一些關於此類代碼的問題，例如：

構建的x86二進製文件，根據對它們的一些註釋， aae 應該可以在 this之後解析此類引用。更改，請嘗試一下。如果不是，請打開一個新問題或嘗試其他支持選項。

一旦製作了一個較小的庫來再現該問題，我將創建一個問題，因為現在，我使用r2pipe創建了[python腳本]（https://gitlab.com/snippets/1765072）來查找這些引用

@FabianMendez因此，您找到了製作小型複制器的方法嗎？即使只是“按原樣”提出問題也有幫助。

@AntonKochkov已經存在一個問題：https://github.com/radare/radare2/issues/11309

ⓘ

該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到，我們感謝它分發的cc by-sa 4.0許可。