[求助]大家帮忙看一下这些代码段，有关类继承的逆向-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
ludingping 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	ludingping 2009-2-20 14:00 2 楼 0 还有一个问题，就是retn 这样的返回方式，该如何确定是哪种调用约定？ cdecl还是stdcall 我查了一下retn,好像给的资料不多。谢谢了
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 612 粉丝 1 关注私信	thinkSJ 4 2009-2-20 17:15 3 楼 0 从sub_411570()调用sub_403D98函数的情况来看,后者不是成员函数(它本身也不是什么成员函数),且没有参数,至于那个call dword ptr[ecx-4] 也不像是在调用虚函数,倒更像是有一个放着一堆函数指针的数组,这里只是随便调用了一下. 不过这两个函数都有点怪,默认都敢用EAX,如果不是特殊情况的话,我通常在写的时候都会给他们加个参数. 从这里我只能看出这么多来,究竟正不正确,需要更多的代码 :)
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2009-2-20 17:25 4 楼 0 像是调用vmt的Destroy，delphi是borland风格的fastcall
robit 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	robit 2009-2-20 17:31 5 楼 0 额... 3楼说的参数指的是CDECL 跟 STDCALL吧... 这两种调用约定都是通过堆栈传递参数的... 而我看楼主的代码... 那个就是FASTCALL啊... 运用EAX EDX ECX 传递参数额... 而我觉得那个CALL就是形式上是虚函数的调用... 但是负索引无法解释... 我在逆向DELPHI程序也遇到这种问题... 难道是多重继承下调用虚函数产生的? 关于调用约定: http://bbs.pediy.com/showthread.php?t=75658
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 612 粉丝 1 关注私信	thinkSJ 4 2009-2-20 17:50 6 楼 0 TO: 5楼原来fastcall会用eax, 传递this也可能用到eax, 长见识了.
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2009-2-20 18:44 7 楼 0 楼主的CODE:00403D98是 Delhpi 标准的 TObject.Free CODE:00403D98 test eax, eax This CODE:00403D9E mov ecx, [eax] ECX指向Function列表(非指向起点) CODE:00403DA0 call dword ptr [ecx-4] call 父.Destory delphi 父的destory都是在 -4
ludingping 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	ludingping 2009-2-20 21:48 8 楼 0 谢谢各位大侠们的帮助，让我茅塞顿开。以后还请多多指教
ludingping 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	ludingping 2009-2-20 22:23 9 楼 0 CODE:005C544E word_5C544E dw 0Bh ; DATA XREF: CODE:005C5234o CODE:005C5450 dd 0A002A005h, 0A006A003h, 0A015A00Ah, 0A023A01Fh, 0A064A009h CODE:005C5464 db 5Bh, 0A0h CODE:005C5466 dd offset sub_5C5614 CODE:005C546A dd offset sub_5C569C CODE:005C546E dd offset sub_5C56C4 CODE:005C5472 dd offset sub_5C5684 CODE:005C5476 dd offset dword_5C54E8 CODE:005C547A dd offset sub_5C5A64 CODE:005C547E dd offset sub_5C5CCC CODE:005C5482 dd offset sub_5C5EFC CODE:005C5486 dd offset sub_5C6090 CODE:005C548A dd offset sub_5C6774 CODE:005C548E dd offset sub_5C6408 这一段又是什么意思呢？唉，大家别嘲笑我哦
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2009-2-20 23:14 10 楼 0 技术的地方. 有问题共同研究, 没人会嘲笑我是来跟你说声再见的.
robit 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	robit 2009-2-20 23:15 11 楼 0 楼主的可以再看看这2个: DELPHI 反编译 http://bbs.pediy.com/showthread.php?t=80205 DELPHI 类逆向 http://it.syue.com/Hacker/HTML/62925.shtml
robit 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	robit 2009-2-21 00:24 12 楼 0 还有这个: DELPHI的原子世界 (GOOGLE就有)
ludingping 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	ludingping 2009-2-23 11:34 13 楼 0 谢谢大家的支持。还有个问题，如何结贴的？在看雪是不是不用结贴？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (12)
ludingping 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	ludingping 2009-2-20 14:00 2 楼 0 还有一个问题，就是retn 这样的返回方式，该如何确定是哪种调用约定？ cdecl还是stdcall 我查了一下retn,好像给的资料不多。谢谢了
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 612 粉丝 1 关注私信	thinkSJ 4 2009-2-20 17:15 3 楼 0 从sub_411570()调用sub_403D98函数的情况来看,后者不是成员函数(它本身也不是什么成员函数),且没有参数,至于那个call dword ptr[ecx-4] 也不像是在调用虚函数,倒更像是有一个放着一堆函数指针的数组,这里只是随便调用了一下. 不过这两个函数都有点怪,默认都敢用EAX,如果不是特殊情况的话,我通常在写的时候都会给他们加个参数. 从这里我只能看出这么多来,究竟正不正确,需要更多的代码 :)
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2009-2-20 17:25 4 楼 0 像是调用vmt的Destroy，delphi是borland风格的fastcall
robit 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	robit 2009-2-20 17:31 5 楼 0 额... 3楼说的参数指的是CDECL 跟 STDCALL吧... 这两种调用约定都是通过堆栈传递参数的... 而我看楼主的代码... 那个就是FASTCALL啊... 运用EAX EDX ECX 传递参数额... 而我觉得那个CALL就是形式上是虚函数的调用... 但是负索引无法解释... 我在逆向DELPHI程序也遇到这种问题... 难道是多重继承下调用虚函数产生的? 关于调用约定: http://bbs.pediy.com/showthread.php?t=75658
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 10 回帖 612 粉丝 1 关注私信	thinkSJ 4 2009-2-20 17:50 6 楼 0 TO: 5楼原来fastcall会用eax, 传递this也可能用到eax, 长见识了.
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2009-2-20 18:44 7 楼 0 楼主的CODE:00403D98是 Delhpi 标准的 TObject.Free CODE:00403D98 test eax, eax This CODE:00403D9E mov ecx, [eax] ECX指向Function列表(非指向起点) CODE:00403DA0 call dword ptr [ecx-4] call 父.Destory delphi 父的destory都是在 -4
ludingping 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	ludingping 2009-2-20 21:48 8 楼 0 谢谢各位大侠们的帮助，让我茅塞顿开。以后还请多多指教
ludingping 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	ludingping 2009-2-20 22:23 9 楼 0 CODE:005C544E word_5C544E dw 0Bh ; DATA XREF: CODE:005C5234o CODE:005C5450 dd 0A002A005h, 0A006A003h, 0A015A00Ah, 0A023A01Fh, 0A064A009h CODE:005C5464 db 5Bh, 0A0h CODE:005C5466 dd offset sub_5C5614 CODE:005C546A dd offset sub_5C569C CODE:005C546E dd offset sub_5C56C4 CODE:005C5472 dd offset sub_5C5684 CODE:005C5476 dd offset dword_5C54E8 CODE:005C547A dd offset sub_5C5A64 CODE:005C547E dd offset sub_5C5CCC CODE:005C5482 dd offset sub_5C5EFC CODE:005C5486 dd offset sub_5C6090 CODE:005C548A dd offset sub_5C6774 CODE:005C548E dd offset sub_5C6408 这一段又是什么意思呢？唉，大家别嘲笑我哦
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2009-2-20 23:14 10 楼 0 技术的地方. 有问题共同研究, 没人会嘲笑我是来跟你说声再见的.
robit 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	robit 2009-2-20 23:15 11 楼 0 楼主的可以再看看这2个: DELPHI 反编译 http://bbs.pediy.com/showthread.php?t=80205 DELPHI 类逆向 http://it.syue.com/Hacker/HTML/62925.shtml
robit 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	robit 2009-2-21 00:24 12 楼 0 还有这个: DELPHI的原子世界 (GOOGLE就有)
ludingping 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	ludingping 2009-2-23 11:34 13 楼 0 谢谢大家的支持。还有个问题，如何结贴的？在看雪是不是不用结贴？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复