首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[求助]请问ida逆向中这样的原型是什么样子?
2022-5-30 20:53 3909

[求助]请问ida逆向中这样的原型是什么样子?

zhonghuayi 活跃值
2022-5-30 20:53
3909

BOOL __thiscall sub_485910(LPVOID lpParam, HINSTANCE hInstance, int nWidth)
{
int v3; // eax
bool v4; // zf
HINSTANCE v6; // ecx
HWND v7; // eax
LONG v8; // eax
HRGN v9; // eax
WNDCLASSA WndClass; // [esp+4h] [ebp-34h] BYREF
int pExceptionObject[3]; // [esp+2Ch] [ebp-Ch] BYREF

 

v3 = nWidth;
v4 = byte_4B2400 == 0;
v6 = hInstance;
((_DWORD )lpParam + 1) = hInstance;
((_DWORD )lpParam + 2) = v3;

 

LPVOID lpParam 是一个指针
下面这样((_DWORD )lpParam + 1),哪位大神能解释下吗?推导出大概的结构是什么样子?


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
点赞2
打赏
分享
最新回复 (3)
UFO
雪    币: 4016
活跃值: (1956)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
UFO 2022-5-30 21:25
2
0
把 lpParam 定义为 ULONG_PTR, 再对着代码看就是了
kakasasa
雪    币: 576
活跃值: (2035)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
kakasasa 2022-5-30 23:26
3
0

吐槽下,起码你也该同时把F5对应的汇编贴出来吧。单看伪码感觉怪异,按说应该是
*(lpParam + 1) = hInstance;

最后于 2022-5-30 23:28 被kakasasa编辑 ,原因:
chenxia0
雪    币: 249
活跃值: (459)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
chenxia0 2022-5-31 09:26
4
0
话说,你应该能拿到地址,对地址下断点,然后打印对应寄存器的值,获取变量类型也是可行的
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回