1.文本搜索

IDA文本搜索相當于對反匯編列表窗口進行子字符串搜索。通過Search?Text（熱鍵：ALT+T）命令啟動文本搜索
選擇Find all occurences（查找所有結果），IDA將在一個新的窗口中顯示搜索結果，最后，使用CTRL＋T或Search?Next Text（Ctrl+T）命令可重復前一項搜索，以找到下一個匹配結果
文本搜索不一定準確，如以下匯編（IDA轉換的），文本搜索是搜不到的（實際它對應的文字是：吾愛破解匯編指令查詢器） [cpp]?view plaincopy

.text:004016DC?????????????????dd?0AEB0E1CEh,?0E2BDC6C6h,?0E0B1E3BBh,?0EEC1B8D6h,?0AFD1E9B2h??

2.二進制搜索

使用Search?Sequence ofBytes（搜索?字節(jié)序列）或ALT+B即可啟動二進制搜索,
0.要搜索一個十六進制字節(jié)序列，應將搜索字符串指定為以空格分隔的兩位十六進制值組成的列表（不區(qū)分大小寫） 1.要搜索內(nèi)嵌的字符串數(shù)據(jù)（有效搜索十六進制窗口中的ASCII字符串），你必須將搜索字符串用引號括起來,如果不括起來，會彈出提示 2.在搜索十六進制字節(jié)序列時，最好選中Case-sensitive選項，不然，如果對E9 41 C3進行不區(qū)分大小寫的搜索，你會驚奇地發(fā)現(xiàn)，E9 61 C3出現(xiàn)在了搜索結果中。這是因為，0x41對應于字符A，而0x61則對應于字符a，所以IDA認為這兩個字符串相互匹配。 3.使用CTRL＋B或Search?Next Sequence of Bytes（搜索?下一個字節(jié)序列）可以搜索隨后的二進制數(shù)據(jù)。 如搜索“吾愛破解匯編指令查詢器”

搜到后，跳轉到004016DC，先Undefine，再把它轉換成文字（按A或右鍵選擇）（注意要先undefine才能轉換） 然后文字就可以搜出來了

不要期望使用String窗口幫你列出來，還是老老實實搜比較靠譜
在進行十六進制搜索時，如果希望將搜索限定為完全匹配，你必須選中Case-sensitive選項。在你搜索特定的操作碼序列而非ASCII文本時，這點尤為重要。

3.替換16進制

搜索完后，要替換2進制字符串，可以使用以下方式： 1.打開C32Asm.exe，以16進制加載 2.CTRL+F，輸入要查找的16進制，輸入要替換的16進制（保持它們長度一致） 3.選擇全部替換即可

獲得二進制16進制的方式 可以通過UE來操作，選中編輯?16進制功能?16進制復制選定視圖即可

總結

以上是生活随笔為你收集整理的5.IDA-文本搜索、二进制搜索（16进制字节序列）、替换16进制的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。