蛛丝

         做数据分析是这是最先应该区分数据是常量、变量，还是指针。      作为二进制数据本身不会标记自己是什么，但是编译器将全局变量、静态变量和常量统一储存在一起，因为它们的实现方式是一样的，只是全局变量

<br />       许多人将软件逆向工程看做代码逆向工程，然而软件被看做是“软件=代码+数据”。那么对等的就应存在“数据逆向工程”，虽然数据逆向工程与代码逆向工程有交叉部分，但是它们各有侧重。代码逆向工程主要利用反汇编分析代码的执行流程。数据逆向工程重点在于数据结构和数据内容。<br />       二进制文件的数据可以逆向，却不可能反汇编，因为数据连续的静静地躺在栈区和数据段，但为了分析数据，我们又不得不利用代码反汇编，通过代码意图推理出数据结构。<br /> <br />分析方法<br />  

字符串    在C语言中，字符串是由字符组成，单字符不是字符串，至少有两个字符组成，且结尾字符是'/0'。    例如："ABCD" 内存中实际储存结构是 41H 42H 43H 44H 00H    字符串的寻址，依靠首字节进行寄存器相对寻址方式：    例如：访问"ABCD"中的第二字节，byte ptr [ebx+1]    正是因为字符串的首字节索引的寻址方式，因此字符串往往要与指针配合。在C语言中常见的，    例如：char *str=“ABCD”；//mov [xxxx],offset str

<br />结构体<br />       struct是由一系列具有相同类型或不同类型的数据构成的数据集合，也叫结构。它的实现方法上和数组是一样的，即每一个成员的访问是直接寻址方式。唯一的区别是，为了提高访问效率，成员无论类型为何，编译器将它们按照4字节对齐。<br /> <br />eg：struct test<br />       {<br />            char str;<br />            int i;<br />        };<br />       test