x86逆向 - function逆向

之前的笔记搬运

0x1 逆向函数需要的信息

逆向中需要识别函数的信息有, 参数/返回值/调用约定,
没有这三个信息是无法还原出等价的函数的;

那么如何得到这三样信息呢?

通过名称粉碎后的名字, 使用undname获取函数声明

1
2
3
4
5
6
7
8
9
识别外部函数(导出函数)时, 想要得到调用约定只能通过名称粉碎
同样的函数:
Fun(int a, int b)
C粉碎规则, stdcall调用约定:  _CStd@8
C粉碎规则, cdecl调用约定:   CCdecl
C粉碎规则, fastcall调用约定:  CFast@8
CPP粉碎规则, stdcall调用约定:  ?CPPStd@@YGHHH@Z
CPP粉碎规则, cdecl调用约定:   ?Cdecl@@YAHHH@Z
CPP粉碎规则, fastcall调用约定:  ?CCPPFast@@YIHHH@Z

可以发现在C粉碎规则的stdcall与fastcall粉碎后名称一样,
所以还需要通过方式其他进一步确认

从汇编代码来判断

1
2
3
4
5
1) 从平栈方判断
    如果是函数内部平栈有可能是stdcall或fastcall;
    如果是函数外部平栈就是cdecll调用
2) 参数使用判断
    检查函数内部有没有直接使用edx和ecx, 在结合平栈的数量可以判断是否是fastcall

0x2 浮点数传参和返回值形式

浮点数传参是通过把浮点数压入到st0再弹出到堆栈里, 实现传参

返回值是通过把堆栈里的输入压入到st0来实现取返回值

返回值的大小可以通过后续是用大小确定是double还是float

如: mov qword prt [xx], 1

mov dword prt [xx], 1

感谢大佬

微信

扫一扫,分享到微信

微信分享二维码
载入天数...载入时分秒... || 你是本博第 位访客 || 历经 次回眸才与你相遇

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

一个拼命生存, 却又想要追求自由的人儿;