如何使用radare2将.text段转储到输出文件？

Question

我在我的windows10上运行了这个radare2，并试图获取PE格式可执行文件的.text部分。我必须首先知道.text段的大小，然后在地址范围内进行转储吗？感谢您分享您的知识！

Answer 1

有几种方法可以做到这一点。

您可以使用以下命令将.text部分作为C样式的字节字符串转储到文件中：

pcs section_end..text-section..text @ section..text > myfile.txt

即"\x90\x90\x41\x41“。

请看“pc？”有关其他输出格式的帮助。

'section_end..text‘和'section..text’是.text部分开始和结束地址的标记或书签。radare2识别部分并为您创建标记(在radare2中称为标志)。因此，我们从.text起始地址中减去.text结束地址，以获得该部分的长度

您还可以使用'wtf‘表示原始二进制转储。类似于：

wtf myfile section_end..text-section..text @ section..text

用于写入文件的结尾‘wtf’

• myfile is your filename

• subtract

• length

• '@ section..text‘告诉它从哪个查找位置开始转储。

Answer 2

您的.text部分的名称是什么？在一个文件中，我看到了.text.0，因为PE文件中有多个部分。因此，在- .text.<##>后面添加数字

例如，pcssection..end..text.0- section..text.0 @section..text.0> myfile.txt

尽管这会输出文件中.text部分的一个长文本行：

"\x8b\x9c ... \x67\xf1\xff\x00\x00“

要将.text.<##>节写到文件中，还需要稍微修改一下命令：

wtf section_end..text.0-section..text.0 @ section..text.0

将编号0更改为您的.text.<##>部分编号。使用以下命令：

S

列出所有部分的步骤