我知道有一个叫做trackstrings的,但是太老了,要求必须Python2,我现在用的IDA9完全不行。
类似这种,而且可以自动解密异或或者其他混淆,我找到一种,但是你要手动到data段右键点分析才出来做不到自动化。
[Asm] 纯文本查看 复制代码.data:0000000180F1AA3C db 8Fh
.data:0000000180F1AA3D db 0C2h
.data:0000000180F1AA3E db 75h ; u
.data:0000000180F1AA3F db 3Dh ; =
.data:0000000180F1AA40 db 0AEh
.data:0000000180F1AA41 db 47h ; G
.data:0000000180F1AA42 db 61h ; a
.data:0000000180F1AA43 db 3Eh ; >
.data:0000000180F1AA44 db 0
.data:0000000180F1AA45 db 0
.data:0000000180F1AA46 db 0
.data:0000000180F1AA47 db 0
.data:0000000180F1AA48 db 0
.data:0000000180F1AA49 db 0
.data:0000000180F1AA4A db 80h
.data:0000000180F1AA4B db 3Fh ; ?
.data:0000000180F1AA4C db 0
.data:0000000180F1AA4D db 0
.data:0000000180F1AA4E db 0
.data:0000000180F1AA4F db 0
.data:0000000180F1AA50 db 0
.data:0000000180F1AA51 db 0
.data:0000000180F1AA52 db 80h
.data:0000000180F1AA53 db 3Fh ; ?
.data:0000000180F1AA54 db 0ECh
.data:0000000180F1AA55 db 51h ; Q
.data:0000000180F1AA56 db 38h ; 8
.data:0000000180F1AA57 db 3Eh ; >
还有就是一种可以自动模拟运行遍历指针地址,重新命名和关联跳转关系,比如这种:
[Asm] 纯文本查看 复制代码text:000000018000B040 lea rbp, [r10+20h]
.text:000000018000B044 lea rsi, [rsi+r9]
.text:000000018000B048 mov rcx, r9
.text:000000018000B04B mov r14, [rsi+rbp-20h]
.text:000000018000B050 lea rdi, [rsp+r9*2+arg_30]
.text:000000018000B055 mov rax, [rsi+rbp-18h]
.text:000000018000B05A lea rdi, [rdi+rbp-20h]
lea 这种指向一些地址的,有没有插件能自动遍历直接给自动改成地址显示,还能映射跳转?
这俩目前是我最烦的,想知道地址要么算要么动态断好烦啊。
这两种功能的插件存在吗?
