Données DCD dans le fichier IDA désassemblé


0

Il existe des données DCD dans un fichier binaire désassemblé utilisant IDA, comme indiqué dans la description de l'image. Le binaire est un type de processeur ELF de type ARM. Je veux savoir quelles sont ces données? Est-il possible qu'ils soient code que l'IDA n'a pas pu démonter? enter image description here

2

C'est l'en-tête ELF de votre exécutable, et de l'IDA est conscient qu'il n'y a pas pratique de le démonter comme si ce Code. Voyez The 101 of ELF Binaries on Linux: Understanding and Analysis si vous ne savez pas ce qu'est un "en-tête ELF" ou si vous voulez connaître la signification de chaque octet dans l'en-tête que vous montrez. De manière plus générale, IDA tente automatiquement de déterminer quelles parties sont du code et des données, mais il peut échouer sur les deux. Les données qui seront traitées comme du code contiendront généralement des octets non définis - ceux-ci apparaîtront sous la forme littérale dcd octets parmi les instructions désassemblées apparemment valides. (Et en y regardant de plus près, ces "instructions" sont généralement absurdes.)

Le code traité comme une donnée est plus difficile à repérer, surtout s'il n'y a pas de références évidentes dans celui-ci. Avec une expérience suffisante, on peut être capable de reconnaître certaines séquences hexadécimales comme "le code le plus probable"; dans ce cas, demandez à l'IDA de démonter une telle séquence et de voir ce qu'elle produit.