IDAディスカバリファイルのDCDデータ


0

IDAを使用して、画像の説明に示すように、分解されたバイナリにはいくつかのDCDデータがあります。バイナリは、ARMプロセッサタイプのELFです。私はこれらのデータが何であるか知りたいですか? IDAが分解できないコードである可能性はありますか?あなたの実行可能ファイルからELFヘッダで、IDAはそれがコードだかのようにそれを分解する実際的な使用がないことを認識している enter image description here

2

"ELFヘッダー"が何であるかわからない場合や、表示するヘッダー内のすべての1バイトの意味を知りたい場合は、The 101 of ELF Binaries on Linux: Understanding and Analysisを参照してください。

もっと一般的に言えば、IDAは自動的にどの部分がコードとデータであるかを判断しようとしますが、両方で失敗する可能性があります。コードとして扱われるデータには、通常、未定義のバイトが含まれています。これらは、一見有効なディスアセンブルされた命令のうち、リテラルdcdバイトとして表示されます。 (詳細な検査では、これらの「指示」は通常無意味です。)

データとして扱われるコードは、特に明らかな参照がない場合は、検出するのがより困難です。十分な経験があれば、特定の16進数列を「最も可能性の高いコード」として認識することができます。その場合、IDAにそのような配列を逆アセンブルし、その配列が何を生成するかを指示する。