|
|
|---|---|
|
|
2.局部堆栈变量
局部变量在堆栈之中进行分配,在函数执行完毕后删除。请注意,在一般情况下 当函数为局部变量分配堆栈空间的时候,堆栈中已经存在函数的参数以及函数的返回地址。这时堆栈中内容如下:  先理解一下上面的图片:通常你会在每个函数的开始处看到如下内容: push ebp mov ebp,esp 为什么要把esp放入ebp中,也许是为了访问方便,因为函数中也会用到堆栈,这样esp总是变动的.有一些优化编译器会直接通过esp来访问堆栈,从而将EBP寄存器腾出来进行更有用的工作,所以你可能看不到类似于上面的代码,但大多数情况下是可以通过上面那两条指令寻找函数的开始位置的。 函数的参数和局部变量在调试的时候是比较烦的一个事情,大多数情况下都是和[ebp-**](局部变量),[ebp+**](参数)打交道,这时候IDA PRO可能会减轻许多工作。 回顾一下8086的寻址方式:立即数寻址,寄存器寻址,直接寻址,寄存器间接寻址,只有后两种是内存寻址方式。在对堆栈局部变量进行直接操作的时候,总是会用寄存器间接寻址方式,也就是说指令的操作数(与变量向对应的)全是地址。在32位平台下,一个地址总是32位(双字节)组成的,所以不管什么类型的变量,数组还是指针,byte还是word还是dword.所有对其直接操作的指令的操作数总是双字(32位)。在分析局部变量类型的时候要根据实际情况进行判断。 3. 返回值 要是每个函数都真的像高级语言中那样说的“只能有一个返回值“那逆向分析的时候就爽歪歪了,在分析函数的时候,我们得把函数所影响系统的一切东西当成返回值来对待,不管是寄存器还是磁盘文件全局变量,局部变量等等都得考虑到,在分析的时候需要考虑到所有有用的返回值,不仅仅是eax----它对应高级语言中的return。我自己认为可以这样理解:函数的返回值就是函数的作用。 |
|
|
|
|
|
 请删除 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
很有收获
|
|
|
|
|
|
长金了,谢谢
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 半懂。。。。
|
|
|
|
|
|
|
|
|
支持一下你们的.
|
