-
-
未解决 [求助] ida 7.7 转换代码疑似 BUG,大家看一下!
-
发表于: 2023-6-29 21:52
-
7.0是好的,7.7问题很严重
今天分析一个so文件,发现对内存未定义字节转换成函数,7.7一直失败,7.0成功
就是这段内存:
函数开头是 F0B5214C 没任何问题
于是我在 7.7 中按 C,直接转换成代码看一下,这才发现根本原因,IDA 7.7中,默认全部以 4 字节的 opcode 去转换成汇编代码而不是 2 字节,所以识别不出函数,因为正常的函数第一行汇编是 F0B5,而 7.7 识别成 F0B5214C,如图:
直接变成这样了,乱七八糟的汇编代码,无语、、、、、、
7.0 中十分正常:
难道 IDA 越更新还没几年前的版本好?
这个问题麻烦大佬们帮忙看下,感谢!!想知道如何解决!!
到底是 IDA 的 BUG 还是插件的问题???有人说是一开始处理器选择arm的thumb问题,我也试过了,选择thumb,一样还是识别错误。
附上 so 样本,打开后 shift+F7 打开段,双击 .data.rel.ro.local 进去后,双击 checkport 函数的地址进去就可以看到这段代码了:
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2023-6-29 21:52
被jielongtang编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
感谢 |
