mhibio

IDA에서 Switch-Case 문이 깨져서 나올때 가끔씩 IDA로 바이너리를 분석하다 보면 분명히 switch-case인데 JUMPOUT() 혹은 jmp rax 표시될 때가 있다. 기드라로 열면 디컴파일이 잘 되긴 하지만 기드라가 익숙치 않기도 하고, 아이다로 분석하던걸 다시 기드라로 옮기기에는 스트레스도 생긴다. 이럴때 jmp rax를 IDA위에서 switch-case문으로 변환해줄 수 있다. specify-switch-idiom 아이다의 디스어셈창에서 Edit -> Other -> Specify-switch-idiom옵션을 실행하면 다음과 같이 나온다. 하나하나 어떤값들을 채워야하는지 알아보자. Address of jump table jmp rax를 통해 플로우가 바뀌므로 얼마만큼 점프해야하는지, ..