1.文本搜索

IDA文本搜索相當(dāng)于對(duì)反匯編列表窗口進(jìn)行子字符串搜索。通過(guò)Search?Text（熱鍵：ALT+T）命令啟動(dòng)文本搜索
選擇Find all occurences（查找所有結(jié)果），IDA將在一個(gè)新的窗口中顯示搜索結(jié)果，最后，使用CTRL＋T或Search?Next Text（Ctrl+T）命令可重復(fù)前一項(xiàng)搜索，以找到下一個(gè)匹配結(jié)果
文本搜索不一定準(zhǔn)確，如以下匯編（IDA轉(zhuǎn)換的），文本搜索是搜不到的（實(shí)際它對(duì)應(yīng)的文字是：吾愛破解匯編指令查詢器） [cpp]?view plaincopy

.text:004016DC?????????????????dd?0AEB0E1CEh,?0E2BDC6C6h,?0E0B1E3BBh,?0EEC1B8D6h,?0AFD1E9B2h??

2.二進(jìn)制搜索

使用Search?Sequence ofBytes（搜索?字節(jié)序列）或ALT+B即可啟動(dòng)二進(jìn)制搜索,
0.要搜索一個(gè)十六進(jìn)制字節(jié)序列，應(yīng)將搜索字符串指定為以空格分隔的兩位十六進(jìn)制值組成的列表（不區(qū)分大小寫） 1.要搜索內(nèi)嵌的字符串?dāng)?shù)據(jù)（有效搜索十六進(jìn)制窗口中的ASCII字符串），你必須將搜索字符串用引號(hào)括起來(lái),如果不括起來(lái)，會(huì)彈出提示 2.在搜索十六進(jìn)制字節(jié)序列時(shí)，最好選中Case-sensitive選項(xiàng)，不然，如果對(duì)E9 41 C3進(jìn)行不區(qū)分大小寫的搜索，你會(huì)驚奇地發(fā)現(xiàn)，E9 61 C3出現(xiàn)在了搜索結(jié)果中。這是因?yàn)?#xff0c;0x41對(duì)應(yīng)于字符A，而0x61則對(duì)應(yīng)于字符a，所以IDA認(rèn)為這兩個(gè)字符串相互匹配。 3.使用CTRL＋B或Search?Next Sequence of Bytes（搜索?下一個(gè)字節(jié)序列）可以搜索隨后的二進(jìn)制數(shù)據(jù)。 如搜索“吾愛破解匯編指令查詢器”

搜到后，跳轉(zhuǎn)到004016DC，先Undefine，再把它轉(zhuǎn)換成文字（按A或右鍵選擇）（注意要先undefine才能轉(zhuǎn)換） 然后文字就可以搜出來(lái)了

不要期望使用String窗口幫你列出來(lái)，還是老老實(shí)實(shí)搜比較靠譜
在進(jìn)行十六進(jìn)制搜索時(shí)，如果希望將搜索限定為完全匹配，你必須選中Case-sensitive選項(xiàng)。在你搜索特定的操作碼序列而非ASCII文本時(shí)，這點(diǎn)尤為重要。

3.替換16進(jìn)制

搜索完后，要替換2進(jìn)制字符串，可以使用以下方式： 1.打開C32Asm.exe，以16進(jìn)制加載 2.CTRL+F，輸入要查找的16進(jìn)制，輸入要替換的16進(jìn)制（保持它們長(zhǎng)度一致） 3.選擇全部替換即可

獲得二進(jìn)制16進(jìn)制的方式 可以通過(guò)UE來(lái)操作，選中編輯?16進(jìn)制功能?16進(jìn)制復(fù)制選定視圖即可

總結(jié)

以上是生活随笔為你收集整理的5.IDA-文本搜索、二进制搜索（16进制字节序列）、替换16进制的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。