Исследование Original.bin

Материал из Wiki.

Если вы оказались здесь по ошибке, просто нажмите кнопку назад вашего браузера


Original.bin, или, собственно, главный модуль.
Для начала (по крайней мере так делаю я) режем Original.bin на две половинки по 65 килобайт любым Hex редактором, так как нам нужны два сегмента, а резать в Иде я не умею :(.
Берем для начала первую половинку. Грузим в Иду с сегмента E000h и смещением 0000h. Потом идем File->Load File->Additional Binary File..., выбираем вторую половинку, задаем сегмент F000h и смещение 0000h. Готово. Имеем два сегмента. Надо бы добавить третий - awardext.rom. Для начала переименуем его в awardext.bin, иначе некоторые инструкции х86 ,будут некорректно обрабатываться Идой. Пристыковываем его к нашему Original.bin (как Additional Binary File...) с сегментом 1000h и смещением 0000h.

Без пристыкованного awardext.rom цепочки межсегментных вызовов будут оборваны и можно потеряться на середине исследуемого участка.


Помним что точка входа в Original.bin F000:F80Dh. Там нас ждет инструкция E9 куда-то-там. Этот куда-то-там должен в конце концов привести нас через межсегментный вызов к подпрограмме выполнения POST. Вот где вволю можно поисследовать!

Чуть попозже добавлю Примеры скриптов для IDA Pro

Отправить комментарий

Содержание этого поля является приватным и не предназначено к показу.
  • Разрешённые HTML-теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <img>
  • You can use BBCode tags in the text. URLs will automatically be converted to links.

Подробнее о форматировании текста

Антибот - введите цифру.
Ленты новостей