-
-
[IDA使用技巧]#164: 我的代码呢?函数参数丢失的情况
-
2023-12-6 17:31
-
翻译:梦幻的彼岸
原文地址:https://hex-rays.com/blog/igors-tip-of-the-week-164-wheres-my-code-the-case-of-missing-function-arguments/
让我们来看看 x86 Windows 二进制文件的反编译片段:
使用相同的参数调用了相同的函数两次,最后一次似乎没有使用 GetComputerNameExW 调用的结果。
通过切换到反汇编,我们可以看到在每次调用之前都用字符串地址初始化了eax:
但是反编译器并不考虑它,因为在 x86 系统中,栈是传递参数的常用方式,而 eax 通常只是一个临时的寄存器。
一种方法是编辑 sub_10006FC7 的原型,使用 __usercall调用约定,然后手动将 eax 添加到参数中。但当函数位于同一个二进制文件中时,通常更简单的做法是直接进入函数内部并反编译,这样反编译器就能看到函数在初始化前确实使用了 eax,从而将其添加到参数列表中:
此外,esi 也被检测到是一个参数。
如果我们现在回到调用程序,就会看到之前丢失的参数被传递给了调用程序:
注意:使用非标准、自定义调用约定通常表明函数使用了手动编写的汇编代码,或者启用了整个程序优化(也称为LTO或LTCG)。
扩展资料:
LTO代表链接时优化(Link Time Optimization),它是一种编译器优化技术,用于在编译时和链接时对代码进行优化。
LTCG是“链接时代码生成”(Link Time Code Generation)的缩写,是Microsoft Visual Studio编译器的一种优化技术。它允许编译器在链接时生成代码,以改进代码的性能和优化。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
