MyException - 我的异常网
当前位置:我的异常网» VC/MFC » 昨天翻了下看雪论坛的精华9,发现一篇“类的逆向分

昨天翻了下看雪论坛的精华9,发现一篇“类的逆向分析”文章,觉得有些意思,给大家看看解决方案(2)

www.MyException.Cn  网友分享于:2013-03-30  浏览:9次


接下来的代码
mov edx, [eax+32040h] 
seg000:00443EEF push ebx 
seg000:00443EF0 mov ebx, [ecx] 
seg000:00443EF2 push esi 
seg000:00443EF3 lea ecx, [eax+32040h] 
seg000:00443EF9 push edi 
seg000:00443EFA call dword ptr [edx+8] 

接下来将eax+32040h又传给edx,而edx在最后被调用,因为是一个call,所以我认为这是在调用一个函数。前面的push很显然都是在给它传递参数。三个push,没有多于的mov,那么说明不是利用寄存器传递而是直接使用堆栈来push的。所以是三个参数。

那么edx+8这个指针的地址就是一个函数。func(x,y,z)。

如此,既然edx+8是一个函数,那么根据前面的seg000:00443EE9 mov edx, [eax+32040h] 就可以认为它是一个类对象而不是数组等其他对象。(函数肯定是要在类里面的啦)

所以 lea ecx, [eax+32040h] 很显示是将这个对象的地址装入ecx,具体怎么用还要看下面的代码,这个楼主没贴出来,也不太好分析。

接着,因为是edx+8,一般地址是4字节的,所以从头开始,0对应一个地址,+4又对应一个地址,+8则对应我们的func(x,y,z)。所以类的原型应该为

public class Test
{
//地址或属性1
//地址或属性2
func(x,y,z); //要调用的函数
}

然后因为
seg000:00443EE3 mov eax, [eax+2D4h] 
seg000:00443EE9 mov edx, [eax+32040h] 
也就是eax偏移2D4H后的地址又做了32040h的偏移后指向我们的Test类,所以很显然应该是
class A14E68 

Middle *middle; //mov eax, [eax+2D4h] 

class Middle

Test test; //mov edx, [eax+32040h] 


至此,原文的答案推得完毕。

当然,我的这个分析是常规的想法,虽然有时汇编不按常理出牌,但根据思路进行反推,还要看具体的上下文,既然是逆向分析,肯定是猜测占主导,没有谁敢保证说就一定是对的啦。直接写的,也没做排版啥的整理,逻辑可能也有些混乱啦,呵呵,但愿不要误导新人。在逆向分析这块,知识还很弱。。。



------解决方案--------------------
探讨
引用:
接着,因为是edx+8,一般地址是4字节的,所以从头开始,0对应一个地址,+4又对应一个地址,+8则对应我们的func(x,y,z)。所以类的原型应该为

public class Test
{
//地址或属性1
//地址或属性2
func(x,y,z); //要调用的函数
}
========================================

to mxlmwl:

你这个是不成立的,成员函数的地址并不是这样…

文章评论

Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
程序猿的崛起——Growth Hacker
程序猿的崛起——Growth Hacker
如何成为一名黑客
如何成为一名黑客
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
旅行,写作,编程
旅行,写作,编程
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
鲜为人知的编程真相
鲜为人知的编程真相
为什么程序员都是夜猫子
为什么程序员都是夜猫子
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
我的丈夫是个程序员
我的丈夫是个程序员
程序员应该关注的一些事儿
程序员应该关注的一些事儿
程序员必看的十大电影
程序员必看的十大电影
程序员和编码员之间的区别
程序员和编码员之间的区别
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
十大编程算法助程序员走上高手之路
十大编程算法助程序员走上高手之路
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
一个程序员的时间管理
一个程序员的时间管理
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
程序员的鄙视链
程序员的鄙视链
10个调试和排错的小建议
10个调试和排错的小建议
亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
那些争议最大的编程观点
那些争议最大的编程观点
看13位CEO、创始人和高管如何提高工作效率
看13位CEO、创始人和高管如何提高工作效率
编程语言是女人
编程语言是女人
我跳槽是因为他们的显示器更大
我跳槽是因为他们的显示器更大
中美印日四国程序员比较
中美印日四国程序员比较
我是如何打败拖延症的
我是如何打败拖延症的
代码女神横空出世
代码女神横空出世
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
每天工作4小时的程序员
每天工作4小时的程序员
程序员都该阅读的书
程序员都该阅读的书
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
老程序员的下场
老程序员的下场
总结2014中国互联网十大段子
总结2014中国互联网十大段子
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有