x86逆向 - 指针与结构体逆向

之前的笔记搬运

0x1 如何确定是指针类型

当间接访问可以正常访问读取内容了, 一定是指针;

间接调用:
    mov reg,fun
    call reg

    lea reg, [mem]
    mov [reg],  1

    mov [imm], 1

0x2 结构体对齐

#pragma pack(8)
struct tegTest
{
    int a;    //+0
    float b;  //+4
    int c;    //+8
    double d; //需要对齐8, 所以不是+12而是+16 
}

结构体成员之间的在内存中如何存放的, 如何对齐的?

结构体成员内存对齐值是这样的计算的: 取当前类型的字节数, 与默认的对齐值做对比,
哪个值比较小就取哪个值, 作为当前对齐值

公式:
Alignment = min( sizeof(type), default )

struct offset % Alignment == 0

结构体中的结构体该如何内存对齐?

结构体内存对齐值是这样的计算的: 取该结构体中最大类型的字节数,
与默认的对齐值做对比, 哪个值比较小就取哪个值, 作为当前对齐值

公式: Alignment = min( sizeof(Struct Max Type) , default )

0x3 结构体赋值

高级代码:
typedef struct tagTest
{
    int a;    //+0
    char b;  //+4
    int c[20];  //+8

}Test ;

    Test tag = { argc, '0', 3};

    Test tag1 = tag;

汇编代码:
;结构体字节数 / 对齐值
001F1409  mov        ecx,16h  
;esi是源结构体
001F140E  lea         esi,[tag]  
;edi是目标结构体
001F1411  lea         edi,[tag1] 
;循环赋值
001F1417  rep movs    dword ptr es:[edi],dword ptr [esi] 

以上代码和使用memcpy得到的代码是一样的
memcpy(tag1, tag,  0x16);

0x4 结构体传参

小于8字节时, 直接使用两个寄存器传参

大于8字节时会把函数外申请一个同样的结构体,进行赋值后再把调用函数使用指针进行访问

高级代码:
typedef struct tagTest
{
    int a;    //+0
    char b;  //+4
    int c[20];    //+8

}Test 

void foo(Test tag)
{
    printf("%d", tag.a);
    printf("%d", tag.b);
    printf("%d", tag.c);
}

Test tag1 = { argc, '0', 3};
foo(tag1);

汇编代码:
00943D19  sub         esp,58h  ;开辟新的结构体空间
00943D1C  mov         ecx,16h  ;结构体字节数 / 对齐值
00943D21  lea         esi,[tag1]  ;需要传入的结构体首地址
00943D27  mov         edi,esp  ;当前栈顶, 这句代码只有结构体传参和内联汇编才会生成这样的代码
00943D29  rep movs    dword ptr es:[edi],dword ptr [esi]  ;内存拷贝
00943D2B  call        foo (09411E5h)  //调用函数
00943D30  add         esp,58h  ;释放空间

当传多个结构体参数时的汇编代码:
foo(tag1, tag2);


004011FC                 sub     esp, 18h
//第二个结构体参数
004011FF                 mov     ecx, 8
00401204                 lea     esi, [tag2]
00401208                 mov     edi, esp
0040120A                 rep movsd
0040120C                 sub     esp, 20h
//第一个结构体参数
0040120F                 mov     ecx, 8
00401214                 lea     esi, [tag1]
00401218                 mov     edi, esp
00401221                 rep movsd
00401224                 call    sub_401080

在函数内部可以进入IDA的栈窗口根据传入参数和结构体大小定位每个结构体的首地址, 用Alt+Q键来解释为结构体, 方便与分析;

0x5 结构体返回值

小于8字节, 返回值会在eax和edx里

大于8字节, 会在调用前开辟一个新的结构体空间把接收返回值的变量指针传入函数,
在函数里进行拷贝操作, 并且必须是第一个参数

高级代码:
typedef struct tagTest
{
    int a;    //+0
    char b;  //+4
    int c[20];    //+8

}Test ;

Test foo()
{
    Test tag = { 1, '0', 3 };
    return tag;
}
Test tag = foo();

汇编代码:

调用foo方:
//取开辟好的结构体首地址
01063CEC  lea         eax,[ebp-180h]  
//当作第一个参数传入函数
01063CF2  push        eax
01063CF3  call        foo (010611EAh) 
01293CF4  add         esp,4  
//把返回值拷贝到临时变量
01293CF7  mov         ecx,16h  
01293CFC  mov         esi,eax  
01293CFE  lea         edi,[ebp-1E0h]  
01293D04  rep movs    dword ptr es:[edi],dword ptr [esi]  
//在从临时变量拷贝到用户指定接收的变量中
01293D06  mov         ecx,16h  
01293D0B  lea         esi,[ebp-1E0h]  
01293D11  lea         edi,[tag]  
01293D14  rep movs    dword ptr es:[edi],dword ptr [esi]  

foo内部代码:
...略去初始化代码
0129140A  mov         ecx,16h  
0129140F  lea         esi,[tag]  ;需要返回的结构体
01291412  mov         edi,dword ptr [ebp+8]  ;参数1地址
01291415  rep movs    dword ptr es:[edi],dword ptr [esi]  
01291417  mov         eax,dword ptr [ebp+8]  ;把赋值好的参数1地址给eax当作返回值
...略去处理后事代码

零散笔记

1. 为什么使用临时变量
    i = a+b;
    tmp = a+b
    i = tmp

    用临时变量是为了应对多运算的表达式:
    i = (a+b)*c

2. chkesp是干什么用的
    chkesp是检查栈平衡, 检查reg和esp是否相等

3. 引用成员的内部实现
    引用结构体成员时就是在引用成员的偏移量; 

4. 什么情况下会有间接访问
    [mem/reg  +  偏移量]
    只有两种情况会出现加偏移量间接访问的情况
        1. 结构体或类访问成员     obj.member
        2. 数组常量下标访问	    ary[4]

5. IDA关于结构体的技巧
    shift+f9 进入结构体窗口
    insetr键 在结构体的View命令新的结构体
    Alt+Q 在IDA的堆栈窗口选择结构体首地址可以转换成指定类型
    u键  删除结构体成员
    T键是把加偏移的的地方转换成 对象.成员的格式
    K键可以更改堆栈变量的命名方式


重建函数:
    函数头部d, 在c, 右键函数标签, 创建函数

赏

感谢大佬

微信