问题描述
在一个反汇编的 dll(由 IDA)中,我到达了一个数组,它被注释为 int 的数组(但它可能是 byte):
.rdata:000000018003CC00 ; int BoxA[264]
.rdata:000000018003CC00 BoxA dd 0 ; DATA XREF: BlockPrepXOR+5FC↑r
.rdata:000000018003CC04 db 0Eh
.rdata:000000018003CC05 db 0Bh
.rdata:000000018003CC06 db 0Dh
.rdata:000000018003CC07 db 9
.rdata:000000018003CC08 db 1Ch
.rdata:000000018003CC09 db 16h
.rdata:000000018003CC0A db 1Ah
.rdata:000000018003CC0B db 12h
.rdata:000000018003CC0C db 12h
.rdata:000000018003CC0D db 1Dh
.rdata:000000018003CC0E db 17h
.rdata:000000018003CC0F db 1Bh
我可以将数据解释为
-
{000000h,E0B0D09h,1C161A12h,..}或 -
{0,90D0B0Eh,121A161Ch,...}或 -
{00h,00h,0Eh,0Bh,..}?
根据评论(来自 IDA),您能否确认数组以 CC00h + 253*4 = D01Fh 结尾?我有另一个从 D020h 开始的数组:
.rdata:000000018003D01D db 0F9h ; ù
.rdata:000000018003D01E db 0A2h ; ¢
.rdata:000000018003D01F db 3Fh ; ?
.rdata:000000018003D020 array4_1248 db 1 ; DATA XREF: BlockPrepXOR+39A↑o
.rdata:000000018003D021 db 2
.rdata:000000018003D022 db 4
.rdata:000000018003D023 db 8
解决方法
这只是 this paper 中描述的 AES 解密的 T8 矩阵。
您可以通过在 Google 上查找 DWORD 值(例如 this is one of the results)轻松识别它。
所以这只是用于 AES 解密函数的数据。
另请注意,将字节序列解释为多字节数据序列(WORD、DWORD、QWORD 等)取决于体系结构。
对于 x86,只有 little-endian 解释是正确的(这是您的情况 2),但数据可能会进行任意操作(例如它可以 bswapped),因此,在 Google 上查看时,请始终同时使用 little 和 the数据的大端版本。
还值得注意的是,IDA 可以将字节解释为 DWORD(键入 d 两次或使用上下文菜单),显示基于反汇编二进制架构的正确值。