2021-10-08 网安实验-Reverse-IDA基础教程四

通过前面的学习我们已经能够通过遍历所有已知的函数及其指令来达到一种基本的搜索效果，这当然很有用，不过有时候我们需要搜索一些特定的字节，比如0x48 0xff 0xc2，这3个字节代表的汇编代码为inc rdx

我们可以选中该指令后右键-》synchronized with->hex view 1，可以看到对应的字节

我们可以使用idc.FindBinary（ea,flag,searcstr,radix=16）来进行字节或者二进制的搜索，flag代表搜索方向或条件，常用的包括：

SEARCH_UP,SEARCH_DOWN 用来指明搜索方向

SEARCH_NEXT 用来获取下一个已经找到的对象

SEARCH_CASE用来指明是否区分大小写

SEARCH_NOSHOW 用来指明是否显示搜索的进度

SEARCH_UNICODE用于将所有搜索字符串视为Unicode

Searchstr是我们要查找的形态，radix参数在写处理器模块时使用，一般用不到，留空即可

接下来看看如何搜索前面提到的那几个字节，其实在这里我用两个字节就可以精确查找了

import idautils

pattern =‘48 ff’

addr = MinEA()

for x in range(0,5):

addr = idc.FindBinary(addr,SE

文章来源: codeboy.blog.csdn.net，作者：愚公搬代码，版权归原作者所有，如需转载，请联系作者。

原文链接：codeboy.blog.csdn.net/article/details/120652669