IDA 有一个名为“hex”的文件加载器,主要支持加载基于文本的文件格式,例如 Intel Hex 或 Motorola S-Record。这些格式包含带有十六进制编码的地址和数据的记录。
例如,以下是 Intel Hex 文件的片段:
:18000000008F9603008FD801008FDC01008FE001008FE401008FE80190
:20004000008FEC01008FF001008FF401008FF801008FFC01008F0002008F0402008F08024D
:20006000008F0C02008F1002008F1402008F1802008F1C02008F2002008F2402008F280228
:14008000008F2C02008F3002008F3402008F3802008F3C0293
:1000A000008F4002008F4402008F4802008F4C02F4
:20010000008F5002008F5402008F5802008F5C02008F6002008F6402008F680243204C694C
:20012000627261727920436F707972696768742028432920313939352048492D5445434818
一段 S-Record
S0030000FC
S1230100810F0016490F0016816F8A0A0F00000098300016B2310016BC3300168E0D0016A7
S1230108280F00169A2900168A00F001866000080400000018230016792200160C00000032
S12301109800E00182A09E0B8000C2012A38001608000000EA3100163A380016FA310016CA
S1230118FF250016BE21001600000000182200169A0100169C330016F9C010010D000000D7
您也可能有一个简单的未格式化的十六进制转储,带有或不带有地址:
0020: 59 69 74 54 55 B6 3E F7 D6 B9 C9 B9 45 E6 A4 52
1000: 12 23 34 56 78
0100: 31 C7 1D AF 32 04 1E 32 05 1E 3C 32 07 1E 21 D9
12 23 34 56 78
此类文件由另一个名为“dump”的加载器识别和处理。由于与原始二进制文件一样,它们不携带有关所使用处理器的信息,因此必须由用户选择。
例如,一些 MIPS 代码的十六进制转储:
007C5DBC 27 BD FF D0
007C5DC0 FF B0 00 20
007C5DC4 FF BF 00 28
007C5DC8 0C 1F 17 64
007C5DCC 00 80 80 2D
007C5DD0 96 03 00 3E
007C5DD4 DF BF 00 28
007C5DD8 DF B0 00 20
007C5DDC 00 62 18 26
007C5DE0 2C 62 00 01
007C5DE4 03 E0 00 08
007C5DE8 27 BD 00 30
可以加载到 IDA 中,而无需将其转换为二进制或 ELF 等结构化格式。
当使用 shellcode 或与其他软件交换数据时,此功能可能很有用。正如我们之前所描述的,IDA 还支持将数据库中的数据导出为十六进制转储。
原文始发于微信公众号(二进制磨剑):IDA 技巧(44) HEX 加载器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论