首先分享一下,因为winhex非**版不能进行200kb以上文件的保存,我们可以使用mac os下的hex friend进行操作。
运行ida,打开Osloader.exe文件:
Alt+T,打开文本搜索对话框,在字符串文本框中输入要搜索boot.ini:
成功跳转到BIOpen函数
BIOpen函数:
ARC_STATUS
BlOpen (
IN ULONG DeviceId,
IN PCHAR OpenPath,
IN OPEN_MODE OpenMode,
OUT PULONG FileId
);
分析待更新。继续加油~