[求助]wince程序反汇编问题-智能设备-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
xlshn 雪币： 123 活跃值： (295) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	xlshn 2 楼等待大牛来解释。 2010-4-7 22:13 0
cryptwind 雪币： 201 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	cryptwind 3 楼 1.ARM中nop是伪指令，可用一条MOV指令替代，比如MOV r0, r0, lsl #0这样的操作。 2.BL修改后面的跳转地址偶没做过，不过貌似BL跳转范围只有32MB，如果是机器码，后面的地址实际为相对于PC的偏移量，所以这个看具体情况了 3.我没用过类似ollydbg这样动态调试wince程序的东西，如果是静态分析修改，IDA pro吧 2010-4-8 09:36 0
batter 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	batter 4 楼回答LZ的问题： 1、请在论坛内找到“宇宙青年”的工具，可以转换机器码，比如NOP—>00 00 A0 E1 2、wince跳转地址计算也有工具可用，也可以这样：（目标地址-现地址-8）/4 3、IDA 支持动态wince调试直接修改。回答完毕，不对的请批评指证。 2010-4-8 11:47 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 5 楼哈哈不错啦学习中 2010-4-8 14:36 0
songhowl 雪币： 240 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 29 粉丝 1 关注私信	songhowl 2 6 楼 1、pe文件中可以nop掉某段代码，对应的机器码是90 90 而ARM中有没有对应的nop指令，对应的机器码又是什么可以用机器码0x00000000做nop 2010-4-9 13:19 0
windz 雪币： 228 活跃值： (25) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	windz 2 7 楼原来是伪指令，谢谢 2010-4-10 17:44 0
windz 雪币： 228 活跃值： (25) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	windz 2 8 楼工具已找到，很好用 2010-4-10 17:45 0
windz 雪币： 228 活跃值： (25) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	windz 2 9 楼我之前也是这么想的，试了一下可以 2010-4-10 17:45 0
nbcool 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	nbcool 10 楼 1.可以准确的告诉你 ARM V4 V5指令集中，非Thumb的话NOP机器码都是00 00 A0 E1 (按UE文件顺序) 2.跳转计算比PC简单，因为非Thumb的话都是4字节一条指令。 3.IDA可以静态分析，同时也能动态分析一些exe和dll，但不是所有，Attach基本是无效的，如果需要做内存补丁，有另外的方法。 2010-4-12 10:27 0
justto 雪币： 219 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 89 粉丝 0 关注私信	justto 11 楼不错，但是arm指令感觉比较复杂 2010-6-13 16:53 0
比特A 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	比特A 12 楼 mark 2015-8-6 12:29 0
quartect 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 18 粉丝 0 关注私信	quartect 13 楼在IDAPro中查看对应的ARM汇编代码，ARM汇编指令代码为固定的4字节，进行对比即可知道BL指令后面对应的地址，BL指令的操作数为相对地址的长度，为4的倍数。 2015-9-10 07:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
xlshn 雪币： 123 活跃值： (295) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	xlshn 2 楼等待大牛来解释。 2010-4-7 22:13 0
cryptwind 雪币： 201 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	cryptwind 3 楼 1.ARM中nop是伪指令，可用一条MOV指令替代，比如MOV r0, r0, lsl #0这样的操作。 2.BL修改后面的跳转地址偶没做过，不过貌似BL跳转范围只有32MB，如果是机器码，后面的地址实际为相对于PC的偏移量，所以这个看具体情况了 3.我没用过类似ollydbg这样动态调试wince程序的东西，如果是静态分析修改，IDA pro吧 2010-4-8 09:36 0
batter 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	batter 4 楼回答LZ的问题： 1、请在论坛内找到“宇宙青年”的工具，可以转换机器码，比如NOP—>00 00 A0 E1 2、wince跳转地址计算也有工具可用，也可以这样：（目标地址-现地址-8）/4 3、IDA 支持动态wince调试直接修改。回答完毕，不对的请批评指证。 2010-4-8 11:47 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 5 楼哈哈不错啦学习中 2010-4-8 14:36 0
songhowl 雪币： 240 活跃值： (35) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 29 粉丝 1 关注私信	songhowl 2 6 楼 1、pe文件中可以nop掉某段代码，对应的机器码是90 90 而ARM中有没有对应的nop指令，对应的机器码又是什么可以用机器码0x00000000做nop 2010-4-9 13:19 0
windz 雪币： 228 活跃值： (25) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	windz 2 7 楼原来是伪指令，谢谢 2010-4-10 17:44 0
windz 雪币： 228 活跃值： (25) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	windz 2 8 楼工具已找到，很好用 2010-4-10 17:45 0
windz 雪币： 228 活跃值： (25) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	windz 2 9 楼我之前也是这么想的，试了一下可以 2010-4-10 17:45 0
nbcool 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	nbcool 10 楼 1.可以准确的告诉你 ARM V4 V5指令集中，非Thumb的话NOP机器码都是00 00 A0 E1 (按UE文件顺序) 2.跳转计算比PC简单，因为非Thumb的话都是4字节一条指令。 3.IDA可以静态分析，同时也能动态分析一些exe和dll，但不是所有，Attach基本是无效的，如果需要做内存补丁，有另外的方法。 2010-4-12 10:27 0
justto 雪币： 219 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 89 粉丝 0 关注私信	justto 11 楼不错，但是arm指令感觉比较复杂 2010-6-13 16:53 0
比特A 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	比特A 12 楼 mark 2015-8-6 12:29 0
quartect 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 18 粉丝 0 关注私信	quartect 13 楼在IDAPro中查看对应的ARM汇编代码，ARM汇编指令代码为固定的4字节，进行对比即可知道BL指令后面对应的地址，BL指令的操作数为相对地址的长度，为4的倍数。 2015-9-10 07:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复