Comment puis-je obtenir IDA Pro de « voir » xrefs à une chaîne?

Question

À l'heure actuelle, je suis un exécutable désassemblage Mach-O dans l'IDA Pro. Je suis passé par la chaîne et a trouvé que je suis intéressé, mais lorsque je tente de trouver xrefs à elle, ne peut être trouvé. Je suis sûr que les chaînes sont référencées dans le code d'origine, mais l'IDA Pro ne semble pas être en mesure de savoir comment ils sont référencés.

Y a-t-il des astuces qui peuvent être effectuées pour obtenir IDA Pro pour voir les xrefs?

Answer 1

Avez-vous donné assez de temps pour elle d'avoir analysé l'ensemble du programme? S'il y a une référence, il est peut-être un certain temps avant qu'il trouve dans un grand programme.

Il est également possible qu'il est référencé par des instructions pour l'IDA ne peut pas trouver un chemin d'écoulement à. Cela peut se produire avec des tables de saut où l'IDA est pas en mesure de deviner la taille de la table. La raison de l'I l'IDA est que vous regardez les instructions qui ont besoin de jugement et l'interprétation correcte et les mettre dans le type approprié si l'IDA peut faire la plupart des travaux.

Answer 2

Il est possible que la chaîne appartient à un tableau de chaînes et le premier élément de la chaîne est référence par l'IDA Pro.

Exemple:

str_table dd offset str1 ; ^xrefs: display_message(int idx)
dd offset str2
dd offset 0x1234 (if you press ctrl+o it may resolve to mystr)

mystr db "Hello world"

Alors, essayez de trouver des références à des chaînes près de votre chaîne, et voir si elles appartiennent à une table, créer un tableau, etc ...

Answer 3

fonction de script idc add_dref() serait celui que vous recherchez.