非常有意思的问题-经典问答-看雪-安全社区|安全招聘|kanxue.com

非常有意思的问题

发表于: 2010-5-2 01:35 6536

非常有意思的问题

tigerlhp

2010-5-2 01:35

6536

跟到了】如下的汇编代码，他有3个参数其中有个参数我怀疑是一个结构体
这个时候我怎么去重建这个结构体呢。怎么分析呢有没有什么分析辅助软件。
00491B00    6A FF          push -1
00491B02    68 98B77000    push King.0070B798
00491B07    64:A1 00000000 mov eax,dword ptr fs:[0]
00491B0D    50             push eax

。。。。。。。。。。。。。。。。。。。

00491D43    59             pop ecx
00491D44    5F             pop edi
00491D45    5E             pop esi
00491D46    5D             pop ebp
00491D47    5B             pop ebx
00491D48    83C4 20       add esp,20
00491D4B    C2 0C00       retn 0C

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・1

免费・0

支持

最新回复 (22)
rol 雪币： 360 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 166 粉丝 0 关注私信	rol 2 楼听说IDA有，OD不知道有没有这个功能 2010-5-2 07:38 0
gddcxysqw 雪币： 40 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	gddcxysqw 3 楼 fs:[0]指向TEB结构吧 2010-5-2 09:20 0
寞落王子雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 52 粉丝 0 关注私信	寞落王子 4 楼 fs:[0]就是SEH链的指针入口 2010-5-2 10:48 0
tigerlhp 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	tigerlhp 5 楼不得哦，兄弟们偶还是不懂哦我查了 SEH 是结构化异常处理,而这个 fs:[0] 是指向的异常处理程序啊而不是什么这个CALL 的参数的结构体啊。还望指教啊！另外 IDA 我看了下没有分析单一函数的。如果这个软件加了壳 IDA就没用了所以IDA又时候使用范围大大有限制，有没有就粘贴一个函数的汇编代码，然后通过一些设置就帮助分析结构体的这种软件啊 2010-5-2 14:11 0
风随雨行雪币： 2513 活跃值： (545) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 6 楼你把工具想的太智能了…… 单独分析…… 那它内部调用的CALL和API怎么确定…… 东西是死的，人是活的，工具是辅助，分析还在人…… 2010-5-2 14:18 0
暗徒雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	暗徒 7 楼我也不太懂，看大牛们的回复。。。。 2010-5-2 17:19 0
tigerlhp 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	tigerlhp 8 楼恩恩，我也想过这个问题，看来确实没有哈哈但是，一个参数是结构体的话需要怎么来确定他的长度和他的变量集合呢？希望能给点参考！！谢谢 2010-5-2 19:54 0
风随雨行雪币： 2513 活跃值： (545) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 9 楼结构体只在概念上存在，内存的表现就是连续的buffer所存储的变量所以你说结构体是单独的N个数据也可以，说N个语义上毫无关系的变量合成一个结构体也可以 2010-5-2 20:16 0
tigerlhp 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	tigerlhp 10 楼但是我要调用这个函数啊比如call xxx 如果他有一个参数然后这个参数就是一个结构体的首地址然后我调用的话就也需要知道这个结构体的具体结构啊，不然我传什么进去啊！！如果传的这个结构体不对就可能引起内存出错啊。但是跟的话确实比较麻烦，我跟了下他这个结构体的内容很大很复杂。而且涉及到好几层的调用。所以我请教一下你们的做法 2010-5-2 20:31 0
tigerlhp 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	tigerlhp 11 楼其实有时候想下也只有硬跟，不然就不知道他的数据结构了但是硬跟的话可能会出错，工作量也大知识有限，投石问路。看看论坛兄弟们好的方法了 2010-5-2 20:34 0
风随雨行雪币： 2513 活跃值： (545) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 12 楼 struct Obj { int a; char b; long c; } 假如你要逆向的函数传入一个obj类型的对象指针，且函数内部仅对obj中的a域进行了操作，而没有任何关于b和c域的操作，你如何判定b,c域的存在？ 2010-5-2 22:47 0
tigerlhp 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	tigerlhp 13 楼哈哈这个确实似乎很难哈。既然这个都难。不过我坚信这个是有法解决的不然搞破解的大牛要调用这个函数，他们怎么办。不可能就因为这个而报废了社不过想想你说得也很有道理，这种时候咋办呢？？想办法得到它的长度然后只设置自己需要设置的变量吗？比如这个 Obj 结构体如果只操作了a 域就给他传个包含a域的结构吗， struct Obj { int a; }; 如果知道长度还好点可以设置为 struct Obj { int a; BYTE unK[5]; }; 呵呵你是不是这个意思啊估计也只有这个样子了哈 2010-5-2 23:49 0
tigerlhp 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	tigerlhp 14 楼知道长度的可能不会出错不过也难说不知道长度的似乎会有潜在的出错可能啊 2010-5-2 23:51 0
正happy 雪币： 207 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 182 粉丝 0 关注私信	正happy 1 15 楼我是来看大牛的解答的 2010-5-4 21:01 0
xouou 雪币： 90 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 1075 粉丝 1 关注私信	xouou 16 楼看不懂继续顶 2010-5-5 03:54 0
好恨雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 0 关注私信	好恨 17 楼我是来看大牛的解答的 2010-5-5 07:00 0
为静而生雪币： 656 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 68 粉丝 1 关注私信	为静而生 18 楼 mark this 2010-5-5 11:07 0
macthrain 雪币： 296 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	macthrain 19 楼顶顶顶~~~~~~~~~~~~~~~ 2010-5-5 14:35 0
olxdf 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 89 粉丝 0 关注私信	olxdf 20 楼我是围观的群众 2010-5-6 09:09 0
tigerlhp 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	tigerlhp 21 楼都顶没大牛了么我要踢馆了哈 2010-5-7 23:28 0
guanghuisy 雪币： 355 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 100 粉丝 0 关注私信	guanghuisy 22 楼等待大牛回复 2010-5-8 12:56 0
山中雨夜雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	山中雨夜 23 楼果然是很有意思 2010-5-9 11:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tigerlhp

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
rol 雪币： 360 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 166 粉丝 0 关注私信	rol 2 楼听说IDA有，OD不知道有没有这个功能 2010-5-2 07:38 0
gddcxysqw 雪币： 40 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	gddcxysqw 3 楼 fs:[0]指向TEB结构吧 2010-5-2 09:20 0
寞落王子雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 52 粉丝 0 关注私信	寞落王子 4 楼 fs:[0]就是SEH链的指针入口 2010-5-2 10:48 0
tigerlhp 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	tigerlhp 5 楼不得哦，兄弟们偶还是不懂哦我查了 SEH 是结构化异常处理,而这个 fs:[0] 是指向的异常处理程序啊而不是什么这个CALL 的参数的结构体啊。还望指教啊！另外 IDA 我看了下没有分析单一函数的。如果这个软件加了壳 IDA就没用了所以IDA又时候使用范围大大有限制，有没有就粘贴一个函数的汇编代码，然后通过一些设置就帮助分析结构体的这种软件啊 2010-5-2 14:11 0
风随雨行雪币： 2513 活跃值： (545) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 6 楼你把工具想的太智能了…… 单独分析…… 那它内部调用的CALL和API怎么确定…… 东西是死的，人是活的，工具是辅助，分析还在人…… 2010-5-2 14:18 0
暗徒雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	暗徒 7 楼我也不太懂，看大牛们的回复。。。。 2010-5-2 17:19 0
tigerlhp 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	tigerlhp 8 楼恩恩，我也想过这个问题，看来确实没有哈哈但是，一个参数是结构体的话需要怎么来确定他的长度和他的变量集合呢？希望能给点参考！！谢谢 2010-5-2 19:54 0
风随雨行雪币： 2513 活跃值： (545) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 9 楼结构体只在概念上存在，内存的表现就是连续的buffer所存储的变量所以你说结构体是单独的N个数据也可以，说N个语义上毫无关系的变量合成一个结构体也可以 2010-5-2 20:16 0
tigerlhp 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	tigerlhp 10 楼但是我要调用这个函数啊比如call xxx 如果他有一个参数然后这个参数就是一个结构体的首地址然后我调用的话就也需要知道这个结构体的具体结构啊，不然我传什么进去啊！！如果传的这个结构体不对就可能引起内存出错啊。但是跟的话确实比较麻烦，我跟了下他这个结构体的内容很大很复杂。而且涉及到好几层的调用。所以我请教一下你们的做法 2010-5-2 20:31 0
tigerlhp 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	tigerlhp 11 楼其实有时候想下也只有硬跟，不然就不知道他的数据结构了但是硬跟的话可能会出错，工作量也大知识有限，投石问路。看看论坛兄弟们好的方法了 2010-5-2 20:34 0
风随雨行雪币： 2513 活跃值： (545) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 12 楼 struct Obj { int a; char b; long c; } 假如你要逆向的函数传入一个obj类型的对象指针，且函数内部仅对obj中的a域进行了操作，而没有任何关于b和c域的操作，你如何判定b,c域的存在？ 2010-5-2 22:47 0
tigerlhp 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	tigerlhp 13 楼哈哈这个确实似乎很难哈。既然这个都难。不过我坚信这个是有法解决的不然搞破解的大牛要调用这个函数，他们怎么办。不可能就因为这个而报废了社不过想想你说得也很有道理，这种时候咋办呢？？想办法得到它的长度然后只设置自己需要设置的变量吗？比如这个 Obj 结构体如果只操作了a 域就给他传个包含a域的结构吗， struct Obj { int a; }; 如果知道长度还好点可以设置为 struct Obj { int a; BYTE unK[5]; }; 呵呵你是不是这个意思啊估计也只有这个样子了哈 2010-5-2 23:49 0
tigerlhp 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	tigerlhp 14 楼知道长度的可能不会出错不过也难说不知道长度的似乎会有潜在的出错可能啊 2010-5-2 23:51 0
正happy 雪币： 207 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 182 粉丝 0 关注私信	正happy 1 15 楼我是来看大牛的解答的 2010-5-4 21:01 0
xouou 雪币： 90 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 1075 粉丝 1 关注私信	xouou 16 楼看不懂继续顶 2010-5-5 03:54 0
好恨雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 0 关注私信	好恨 17 楼我是来看大牛的解答的 2010-5-5 07:00 0
为静而生雪币： 656 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 68 粉丝 1 关注私信	为静而生 18 楼 mark this 2010-5-5 11:07 0
macthrain 雪币： 296 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	macthrain 19 楼顶顶顶~~~~~~~~~~~~~~~ 2010-5-5 14:35 0
olxdf 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 89 粉丝 0 关注私信	olxdf 20 楼我是围观的群众 2010-5-6 09:09 0
tigerlhp 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	tigerlhp 21 楼都顶没大牛了么我要踢馆了哈 2010-5-7 23:28 0
guanghuisy 雪币： 355 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 100 粉丝 0 关注私信	guanghuisy 22 楼等待大牛回复 2010-5-8 12:56 0
山中雨夜雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	山中雨夜 23 楼果然是很有意思 2010-5-9 11:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复