如何找到字符串在内存中的位置（有物理偏移量）？

Question

我需要从恶意二进制文件中找到 str[可能是 n]cmp。 问题是反汇编中有十亿个。

我知道它在那里是因为有弦的帮助。 我正在反汇编一个没有“otx”的二进制文件（为您放入字符串的反汇编器。

我需要知道如何在加载程序后找到该字符串的内存偏移量，以便我可以使用 gdb 等。

如果您可以给我一个算法（我曾经记得另一种方式：phys off = virtual off *段地址+段偏移 - 或类似的东西）（ps是正确的吗？？：））

或者如果你能告诉我这在 ida pro 中如何变得更加容易，我将非常感激，

谢谢:)

Answer 1

在 IDA 中，只需加载文件并执行二分搜索（按 Alt+B），然后查看地址。 您还可以通过按 x 检查字符串的交叉引用。