MyException - 我的异常网
当前位置:我的异常网» VC/MFC » 昨天翻了下看雪论坛的精华9,发现一篇“类的逆向分

昨天翻了下看雪论坛的精华9,发现一篇“类的逆向分析”文章,觉得有些意思,给大家看看解决方案

www.MyException.Cn  网友分享于:2013-03-30  浏览:9次
昨天翻了下看雪论坛的精华9,发现一篇“类的逆向分析”文章,觉得有些意思,给大家看看
问题如下
seg000:00443EDE mov eax, ds:dword_A14E68
seg000:00443EE3 mov eax, [eax+2D4h]
seg000:00443EE9 mov edx, [eax+32040h]
seg000:00443EEF push ebx
seg000:00443EF0 mov ebx, [ecx]
seg000:00443EF2 push esi
seg000:00443EF3 lea ecx, [eax+32040h]
seg000:00443EF9 push edi
seg000:00443EFA call dword ptr [edx+8]

对于这个全局变量 ds:dword_A14E68地址 存放的值 经过一系列变换最后 call dword ptr [edx+8] 我想知道对于这个ds:dword_A14E68地址里面的值应该怎么看,是理解为类指针吗?还是什么? 


--------------------------------------------

一个答复为:

class A14E68
{
  UnkownClass *cls2D4;
}
class UnkownClass
{
  UnkownClass2 cls32040;
}
class UnkownClass2
{
  virtual void func1();
  virtual void func2();
  virtual void func3(void arg1,void arg2,void arg3);
}

call [edx+8] 等于:
A14E68 test;
test.cls2D4->cls32040.func3(arg1,arg2,arg3); 

#####################################################################################

大家认为这个答案对吗?如果不对你认为应该是怎么样的?

------解决方案--------------------
mov edx, [eax+32040h] 这应该是那个虚表指针吧,
...怎么感觉那个ds:dword_A14E68地址里面的值就是个类对象啊..
------解决方案--------------------
ds:dword_A14E68地址里面的值应该怎么看,是理解为类指针吗?
应该是类指针, 
如果是对象第一句就应该是取地址, mov eax, offset dword_A14E68

楼主逆向的这部分代码应该是对的, 我就是做逆向的
------解决方案--------------------
mov eax, ds:dword_A14E68 ; 取全局变量的值
mov eax, [eax+2D4h] ; 从这里可以看出dword_A14E68可能是指向一个类、结构或数组的指针
mov edx, [eax+32040h] ; 32040h很大,所以eax比较可能是一个数组(表)
push ebx ; 没有上下文,无法判断,比较可能的是保存ebx(因为下面要用ebx),而不是传参数
mov ebx, [ecx] ; ecx通常是this指针,而类中第1个成员通常是虚表,但下文中没有再使用ebx,无法推测此行代码的含义(通常不用ebx来传参数)
push esi ; 没有上下文,无法判断,比较可能的是传参数
lea ecx, [eax+32040h] ; 取eax+32040h这个地址,通常是取对象指针
push edi ; 没有上下文,无法判断,比较可能的是传参数
call dword ptr [edx+8] ; edx可能是一个类、结构或数组的指针

从这段代码中无法确定dword_A14E68是什么类型的指针。
edx有可能是一个类的虚表,如果这样,eax+32040h处就是一个类对象,ecx是对象指针,eax+2D4h处比较可能是指向一个类对象数组的指针。
------解决方案--------------------
我不认为是3个参数,我觉得只是传递了2个参数
通过esi和edi传参比较常见的,前面一段应该有mov esi,dword ptr[xxx+xxxx]之类的语句



seg000:00443EEF push ebx
seg000:00443EF0 mov ebx, [ecx]

我感觉是保存当前ebx的值,类似是push ebp mov ebp,esp这种



seg000:00443EF2 push esi //参数2
seg000:00443EF3 lea ecx, [eax+32040h] //this指针通过ecx传递
seg000:00443EF9 push edi //参数1
------解决方案--------------------
seg000:00443EDE mov eax, ds:dword_A14E68 
seg000:00443EE3 mov eax, [eax+2D4h] 
seg000:00443EE9 mov edx, [eax+32040h] 
seg000:00443EEF push ebx 
seg000:00443EF0 mov ebx, [ecx] 
seg000:00443EF2 push esi 
seg000:00443EF3 lea ecx, [eax+32040h] 
seg000:00443EF9 push edi 
seg000:00443EFA call dword ptr [edx+8] 

最近写外挂要做逆向,所以一直苦学中。谈下自己不成熟的看法,呵呵。我觉得文中的逆向基本上是对的。下面是原因:

我们知道类似[eax+2D4h]这样的一般都是指的偏移,那么偏移一般对应类中的一般都是属性等这样的东西。比如

public class A (很抱歉俺是搞java的,嘿嘿,vc的不会写)
{
private String a;
private String b;
}

第二句mov eax, [eax+2D4h] ,因为是[],所以肯定是取地址,那么加*没没错的,肯定是一个指针对象,至于指向哪那,还不得而知,先不管它。

文章评论

Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
程序猿的崛起——Growth Hacker
程序猿的崛起——Growth Hacker
如何成为一名黑客
如何成为一名黑客
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
旅行,写作,编程
旅行,写作,编程
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
鲜为人知的编程真相
鲜为人知的编程真相
为什么程序员都是夜猫子
为什么程序员都是夜猫子
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
我的丈夫是个程序员
我的丈夫是个程序员
程序员应该关注的一些事儿
程序员应该关注的一些事儿
程序员必看的十大电影
程序员必看的十大电影
程序员和编码员之间的区别
程序员和编码员之间的区别
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
十大编程算法助程序员走上高手之路
十大编程算法助程序员走上高手之路
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
一个程序员的时间管理
一个程序员的时间管理
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
程序员的鄙视链
程序员的鄙视链
10个调试和排错的小建议
10个调试和排错的小建议
亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
那些争议最大的编程观点
那些争议最大的编程观点
看13位CEO、创始人和高管如何提高工作效率
看13位CEO、创始人和高管如何提高工作效率
编程语言是女人
编程语言是女人
我跳槽是因为他们的显示器更大
我跳槽是因为他们的显示器更大
中美印日四国程序员比较
中美印日四国程序员比较
我是如何打败拖延症的
我是如何打败拖延症的
代码女神横空出世
代码女神横空出世
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
每天工作4小时的程序员
每天工作4小时的程序员
程序员都该阅读的书
程序员都该阅读的书
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
老程序员的下场
老程序员的下场
总结2014中国互联网十大段子
总结2014中国互联网十大段子
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有