问题描述
我的目标是在进程的整个内存范围内搜索以下模式:
pop *
pop *
retn
我尝试使用FindText,但似乎它只返回IDA中已针对其指令进行了解析的区域的结果。因此要使用FindText id,需要弄清楚如何解析整个内存范围以获取指令(这似乎很费力)。
所以我切换到FindBinary,但在那里也遇到了问题。我正在搜索的模式只需要匹配字节的前5位,其余为通配符。所以我的目标是搜索:
01011***
01011***
11000011
我发现一些帖子声称IDA有一个?通配符为字节,但我无法使它工作,即使它做到了,它似乎也只能工作完整的8位。因此,对于这种方法,我将需要找到一种方法来搜索位模式,然后解析结果周围的位。这似乎是最可行的路线,但到目前为止,我还无法在docs中找到可以搜索这样的位的任何内容。
有人知道实现我想要的方式吗?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)