逆向一程序,發現程序被setuid(0),setgid(0)從而導致程序以root方式運行了(具體可以在iosre中搜索查看),因此我就想把這條指令NOP掉。
網上查了些方法,比如:
1、 00 00 A0 E1 NOP
我試了下,在32位,即ARM7 似乎是 mov r0 r0 (兩個星期前嘗試的了,記得不是很清了。)好吧,這也能實現效果。但在64位下,就變成亂碼了,IDA中全變了。
2、用hopper和ida結合來改
在ida里只能直接改十六進制;在hopper里可以直接修改指令-nop,但只能生成另一個可執行文件。
因此,我用hopper直接修改成nop,再分別生成32位和64位可執行文件,然后用ida從這兩個文件中查看具體十六進制,最后再用32位和64位ida分別修改fat文件,改成nop對應的十六進制。
發現32位和64位的nop對應的十六進制不同,32位下nop占兩個字節,00 BF。64位下nop占4個字節,1F 20 03 D5。這個是為啥呢?
我這個方法是否很蠢?有懂的高手指點下,感激不禁。