banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thủ thuật reverse engineering IDA pro, 0x1E thay cho 0 trong unicode string  XML
  [Question]   IDA pro, 0x1E thay cho 0 trong unicode string 04/05/2014 10:17:15 (+0700) | #1 | 280533
[Avatar]
van7hu
Member

[Minus]    0    [Plus]
Joined: 03/07/2010 02:38:47
Messages: 63
Location: Thuỷ điện Hoà Bình
Offline
[Profile] [PM]
Chào mọi người, có lẽ cũng không thích hợp lắm cho phân mục này, chẳng qua cũng chỉ disassembly bằng IDA.
Mình có disassemnly một app có song ngữ tiếng việt/tiếng anh.
Khi view data trong IDA thì có đoạn này,
Code:
.rdata:00551100 unk_551100      db  4Dh ; M             ; DATA XREF: .rdata:0054FF04o
.rdata:00551101                 db    0
.rdata:00551102                 db 0E1h ; ß
.rdata:00551103                 db    0
.rdata:00551104                 db  79h ; y
.rdata:00551105                 db    0
.rdata:00551106                 db  20h
.rdata:00551107                 db    0
.rdata:00551108                 db  74h ; t
.rdata:00551109                 db    0
.rdata:0055110A                 db 0EDh ; f
.rdata:0055110B                 db    0
.rdata:0055110C                 db  6Eh ; n
.rdata:0055110D                 db    0
.rdata:0055110E                 db  68h ; h
.rdata:0055110F                 db    0
.rdata:00551110                 db  20h
.rdata:00551111                 db    0
.rdata:00551112                 db  63h ; c
.rdata:00551113                 db    0
.rdata:00551114                 db 0E7h ; t
.rdata:00551115                 db  1Eh
.rdata:00551116                 db  61h ; a
.rdata:00551117                 db    0
.rdata:00551118                 db  20h
.rdata:00551119                 db    0
.rdata:0055111A                 db  62h ; b
.rdata:0055111B                 db    0
.rdata:0055111C                 db 0A1h ; í
.rdata:0055111D                 db  1Eh
.rdata:0055111E                 db  6Eh ; n
.rdata:0055111F                 db    0
.rdata:00551120                 db  20h
.rdata:00551121                 db    0
.rdata:00551122                 db  11h
.rdata:00551123                 db    1
.rdata:00551124                 db 0E3h ; p
.rdata:00551125                 db    0
.rdata:00551126                 db  20h
.rdata:00551127                 db    0
.rdata:00551128                 db  11h
.rdata:00551129                 db    1
.rdata:0055112A                 db 0B0h ; ¦
.rdata:0055112B                 db    1
.rdata:0055112C                 db 0E3h ; p
.rdata:0055112D                 db  1Eh
.rdata:0055112E                 db  63h ; c
.rdata:0055112F                 db    0
.rdata:00551130                 db  20h
.rdata:00551131                 db    0
.rdata:00551132                 db  63h ; c
.rdata:00551133                 db    0
.rdata:00551134                 db 0E0h ; a
.rdata:00551135                 db    0
.rdata:00551136                 db  69h ; i
.rdata:00551137                 db    0
.rdata:00551138                 db  20h
.rdata:00551139                 db    0
.rdata:0055113A                 db  73h ; s
.rdata:0055113B                 db    0
.rdata:0055113C                 db 0B5h ; ¦
.rdata:0055113D                 db  1Eh
.rdata:0055113E                 db  6Eh ; n
.rdata:0055113F                 db    0
.rdata:00551140                 db  20h
.rdata:00551141                 db    0


nếu mình define "unk_551100" thành Strings->Unicode, sẽ chỉ được kết quả như sau:
Code:
.rdata:00551100 aMayTbnhC:                              ; DATA XREF: .rdata:0054FF04o
.rdata:00551100                 unicode 0, <Máy tính c>
.rdata:00551114                 db 0E7h ; t
.rdata:00551115                 db  1Eh
.rdata:00551116                 db  61h ; a
.rdata:00551117                 db    0
.rdata:00551118                 db  20h
.rdata:00551119                 db    0
.rdata:0055111A                 db  62h ; b
.rdata:0055111B                 db    0
.rdata:0055111C                 db 0A1h ; í
.rdata:0055111D                 db  1Eh
.rdata:0055111E                 db  6Eh ; n
.rdata:0055111F                 db    0
.rdata:00551120                 db  20h
.rdata:00551121                 db    0


rõ ràng vấn đề nằm ở chỗ, 0x1E, cái này mình không hiểu cho lắm, về Unicode mình quá mù mờ.
Có anh chị em nào nắm được, cho mình hỏi 0x1E là gì? và làm sao giải quyết nó cho đúng trong IDA?
https://www.facebook.com/buivan.thu.94
Được phục vụ cho tổ quốc, đó là một niềm vinh hạnh lớn lao..
[Up] [Print Copy]
  [Question]   IDA pro, 0x1E thay cho 0 trong unicode string 04/05/2014 19:05:53 (+0700) | #2 | 280538
[Avatar]
quygia128
Member

[Minus]    0    [Plus]
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
[Profile] [PM] [WWW]
Unicode được chứa trong mấy Bytes ?? ASCII chứa mấy Byte ?
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::.
[Up] [Print Copy]
  [Question]   IDA pro, 0x1E thay cho 0 trong unicode string 04/05/2014 19:34:10 (+0700) | #3 | 280539
[Avatar]
van7hu
Member

[Minus]    0    [Plus]
Joined: 03/07/2010 02:38:47
Messages: 63
Location: Thuỷ điện Hoà Bình
Offline
[Profile] [PM]
Về cái khoản Unicode này mình rất mù mờ, đọc tài liệu mà hoa cả mắt, chắc bữa sau phải bỏ ra tầm 3, 4 ngày để đọc tài liệu thì may ra.
App này viết bằng C++ cho Windows, nên mình nghĩ là cứ 2 Bytes vậy.
Thôi vậy, chắc có lẽ google cho cái phần Unicode tiếng việt implementation trong Windows chắc ra ngay.
https://www.facebook.com/buivan.thu.94
Được phục vụ cho tổ quốc, đó là một niềm vinh hạnh lớn lao..
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|