4

经过几天的努力,我想问问社区:)

我有两个exe文件。两者大小相同且相当大(约 80MB)。

  • 第一个exe是原文件,前段时间编译过。我也有相应的PDB文件。
  • 第二个文件与第一个文件几乎相同,但已在多个位置进行了二进制修补。

我设法用 Cutter (Radare2 GUI) 反编译了文件,但考虑到文件大小,几乎不可能通过每一种方法。

使用十六进制编辑器(Hex Fiend),我设法获得了应用补丁的每个偏移位置。现在我正在尝试使用 Cutter 找到这些偏移量来反编译这些位置。

问题是:如何?当我在 Cutter 中打开 Hexdump 时,似乎一切都没有到位,我可能需要一个偏移量。在 Cutter 的加载屏幕上设置偏移量似乎没有任何作用。我用错了吗?

例子:

妖魔

Offset                Hex Data                                         Text
474942-474956         47 65 74 4D 6F 64 75 6C 65 48 61 6E 64 6C 65 41  GetModuleHandleA

刀具

Offset                Hex Data                                         Text
0x0060713E-0x0060714D 47 65 74 4D 6F 64 75 6C 65 48 61 6E 64 6C 65 41  GetModuleHandleA

474942 是 0x73F3E,但这与 0x0060713E 相差甚远

也许我需要其他工具?任何帮助表示赞赏!

4

0 回答 0