pointers - 帮助破译几行 assembly 线

标签 pointers assembly x86 dword ollydbg

我在 ollydbg 中找到了这几行汇编代码:

MOV ECX,DWORD PTR DS:[xxxxxxxx] ; xxxxxxxx is an address
MOV EDX,DWORD PTR DS:[ECX]
MOV EAX,DWORD PTR DS:[EDX+116]
CALL EAX

有人可以过来告诉我这里发生了什么吗?

最佳答案

这是对存储在结构中的函数指针的调用。

第一行获取存储在地址DS:xxxxxxx处的指针。方括号表示地址的解引用,很像 C 中的*。内存中的值将被用作指针;它被放入 ecx 寄存器中。

MOV ECX,DWORD PTR DS:[xxxxxxxx] ; xxxxxxxx is an address

第二行取消引用上面获得的指针。来自 ecx 的值现在用作地址,该地址已取消引用。在内存中找到的值是另一个指针。第二个指针被放入 edx 寄存器中。

MOV EDX,DWORD PTR DS:[ECX]

第三行再次取消引用内存;这次,访问发生在距离上面获得的指针偏移 0x116 字节的地址。它不能被四整除,因此该函数指针似乎不是来自 C++ vtable。这次从内存中获取的值存储在寄存器eax中。

MOV EAX,DWORD PTR DS:[EDX+116]

最后执行eax指向的函数。这只是通过函数指针调用该函数。该函数似乎采用零参数,但我对答案的修订有疑问:在此代码段之前是否有 PUSH 指令?这些将是函数参数。问号表明该函数可能返回一个值,但我们无法从我们的角度判断。

CALL EAX
<小时/>

总的来说,代码片段看起来像是从插件库到 OllyDbg 的扩展函数的调用。 OllyDbg ABI 指定了包含一些函数指针的各种struct。还有函数指针数组,但是到达 edx 持有的指针(也是偶数未对齐偏移量)的双重间接让我认为这是一个 struct 而不是函数指针数组或 C++ 类的 vtable。

换句话说,xxxxxxxx 是一个指向包含函数指针的struct 的指针。

OllyDbg 源文件 PlugIn.h 中有一些候选的 struct 定义。这是一个例子:

typedef struct t_sorted {              // Descriptor of sorted table
  char           name[MAX_PATH];       // Name of table, as appears in error
  int            n;                    // Actual number of entries
  int            nmax;                 // Maximal number of entries
  int            selected;             // Index of selected entry or -1
  ulong          seladdr;              // Base address of selected entry
  int            itemsize;             // Size of single entry
  ulong          version;              // Unique version of table
  void           *data;                // Entries, sorted by address
  SORTFUNC       *sortfunc;            // Function which sorts data or NULL
  DESTFUNC       *destfunc;            // Destructor function or NULL
  int            sort;                 // Sorting criterium (column)
  int            sorted;               // Whether indexes are sorted
  int            *index;               // Indexes, sorted by criterium
  int            suppresserr;          // Suppress multiple overflow errors
} t_sorted;

这些示例允许为 NULL,并且您的 asm 代码片段不会检查函数指针中的 NULL 指针。因此,它必须是来自 t_tableDRAWFUNCt_dumpSPECFUNC

您可以创建一个包含头文件的小项目,并使用 printf()offsetof() 来确定其中任何一个的偏移量是否为 0x116。

否则,我想 OllyDbg 的内部也是用同样的风格编写的。因此,OllyDbg 中可能存在用于各种目的的私有(private)struct 定义(未在 Plugin.h 文件中发布)。

<小时/>

我想补充一点,我认为 OllyDbg 源代码不可用是一种耻辱。我的印象是它包含的静态链接反汇编程序受到某种 GPL 许可证的约束,但我没有运气获得 OllyDbg 的源代码。

关于pointers - 帮助破译几行 assembly 线,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3453091/

上一篇:mercurial - Mercurial 中克隆和复制的区别

下一篇:.htaccess - 我可以强制 .htaccess 刷新吗?

相关文章:

java - JVM 可以内联 native 方法吗?

c - 如何用C读取X86命中未命中缓存寄存器

c - 指向c中矩阵的指针

c++ - c++中指针的初始化

c - 这两个循环中哪个更快?

assembly - 我不明白如何使用Interrupt 21,AH = 0ah

algorithm - Mips 汇编程序中的快速排序

C++构造函数参数问题

通过指针和地址复制对象

程序集 x86 : comparing strings doesn't work

©2024 IT工具网  联系我们