VC中使用内联汇编的一个问题~~~~~~~~~~~~~~~~~~~~~-软件逆向-看雪-安全社区|安全招聘|kanxue.com

VC中使用内联汇编的一个问题~~~~~~~~~~~~~~~~~~~~~

2005-1-17 10:27 16397

VC中使用内联汇编的一个问题~~~~~~~~~~~~~~~~~~~~~

lee

2005-1-17 10:27

16397

char szFormat[]="%s %s\n";
char szHello[]="Hello";
char szWorld[]="World";

void main()
{
__asm
{
LEA EAX,szWorld
PUSH EAX
LEA EAX,szHello
PUSH EAX
LEA EAX,szFormat
PUSH EAX
CALL printf //这个地方
ADD ESP,12
}
}

TCHAR appname[]=TEXT("API Test");

void main()
{
TCHAR tszHello[]=TEXT("hello,word");
__asm
{
PUSH MB_OK OR MB_ICONINFORMATION
PUSH OFFSET appname
LEA EAX,tszHello
PUSH EAX
PUSH 0
CALL DWORD PTR[MessageBox]//这个地方
；注意这里不是CALL MessageBox,而是重定位过的函数地址
}
}

同样是调用函数，为什么方法不一样啊，虽然上面有句注释，但是我还是不懂

那位指点一下！！！

有《软件加密技术内幕》的可以看398页

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・1

点赞・7

打赏

最新回复 (19)
vcasm 雪币： 262 活跃值： (152) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 2005-1-17 10:53 2 楼 0 这主要是这2个函数的参数定义不一样造成的 printf函数调用的堆栈是调用者负责平衡的，所以调用的时候必须在call后面add esp，4*参数数目，MessageBoxA函数是函数内部负责堆栈平衡所以直接调用就可以了在使用call的时候最好看看调用的函数定义的申明
lee 雪币： 255 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 45 回帖 225 粉丝 0 关注私信	lee 3 2005-1-17 11:00 3 楼 0 CALL printf //这种是直接调用函数 CALL DWORD PTR[MessageBox] //这种为什么是地址我想要知道的是调用方式，两者的区别。。。
vcasm 雪币： 262 活跃值： (152) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 2005-1-17 11:16 4 楼 0 由于使用了内联汇编，C编译器将MessageBox申明为一个指向dword地址的指针，这个地址用于存放MessageBoxA加载后的内存地址，所以需要call [MessageBox] 上面的例子不同 printf函数在c编译器里面函数实体已经被编译到程序里面了，函数的地址明确不需要重定位，所以可以使用call addr
dssz 雪币： 233 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 259 粉丝 0 关注私信	dssz 2005-1-17 11:39 5 楼 0 换种说法 printf是使用静态连接，直接把函数代码写到EXE中 MessageBox是动态连接，MessageBox在程序中只是一个指针，当EXE要使用的时候，只能根据这个指针去读取DLL中函数代码
lee 雪币： 255 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 45 回帖 225 粉丝 0 关注私信	lee 3 2005-1-17 12:04 6 楼 0 谢谢！！！
goldenegg 雪币： 226 活跃值： (330) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 2005-1-17 13:42 7 楼 0 最初由 vcasm 发布由于使用了内联汇编，C编译器将MessageBox申明为一个指向dword地址的指针，这个地址用于存放MessageBoxA加载后的内存地址，所以需要call [MessageBox] 上面的例子不同 printf函数在c编译器里面函数实体已经被编译到程序里面了，函数的地址明确不需要重定位，所以可以使用call addr 错了，真正的原因在于定义方式。不要包含任何头文件：这样写： int __stdcall MessageBoxA(void* hWnd, const char * lpText, const char * lpCaption, unsigned int uType ); 就要这样调用 call MessageBoxA 如果这样写： __declspec(dllimport) int __stdcall MessageBoxA(void* hWnd, const char * lpText, const char * lpCaption, unsigned int uType ); 就要这样调： call dword ptr [MessageBoxA] 因为vc的头文件已经默认给写上了__declspec(dllimport) 所以就必须call dword ptr [MessageBox]
lee 雪币： 255 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 45 回帖 225 粉丝 0 关注私信	lee 3 2005-1-19 11:57 8 楼 0 到底那一个说的对啊？？？
blowfish 雪币： 3246 活跃值： (339) 能力值： (RANK：20 ) 在线值：发帖 15 回帖 295 粉丝 7 关注私信	blowfish 2005-1-19 12:54 9 楼 0 他们说的不矛盾，是因为__declspec(dllimport)关键字的原因。对于使用了__declspec(dllimport)关键字来声明的函数，VC会将对这些函数的调用翻译成一个间址的call，通过IAT来调用，如果你是用C/C++自然不用关心怎么调用，但用汇编就得按编译器的翻译规则来。MSDN里对__declspec(dllimport)有详细描述。
lee 雪币： 255 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 45 回帖 225 粉丝 0 关注私信	lee 3 2005-1-19 17:03 10 楼 0 终于明白了！！！！！！
lee 雪币： 255 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 45 回帖 225 粉丝 0 关注私信	lee 3 2005-1-19 17:03 11 楼 0 对了，谢谢！！！！！！！呵呵~~~~~~~~~~~~
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 2005-1-25 07:18 12 楼 0 各位~~~~看图吧
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 2005-1-25 07:22 13 楼 0
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 2005-1-25 07:25 14 楼 0 多了图
backer 雪币： 1829 活跃值： (1333) 能力值： (RANK：50 ) 在线值：发帖 27 回帖 324 粉丝 106 关注私信	backer 1 2005-1-26 23:36 15 楼 0 最后贴的是静态联编的是吧? 把源代码也贴出来对比看看啊
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 2005-1-27 03:09 16 楼 0 晕，你别看错了啊，黑体就是源代码，编译出来的是灰体
backer 雪币： 1829 活跃值： (1333) 能力值： (RANK：50 ) 在线值：发帖 27 回帖 324 粉丝 106 关注私信	backer 1 2005-1-28 18:52 17 楼 0 没注意,呵呵,真不好意思啊
hmimys 雪币： 239 活跃值： (473) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 356 粉丝 0 关注私信	hmimys 2 2005-6-27 09:24 18 楼 0 看了比较有收获，谁在说说在BCB中的吧
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 2005-9-30 14:44 19 楼 0 关键是――MessageBoxA 是在DLL中引入的，而printf却不是。就是这点区别。 DLL 引入的函数，因为DLL的Base Address是不确定的，所以需要重定位，即载入DLL后才知道MessageBoxA的真正的地址。（理论上）而 printf 是编译后就确定了的，所以没问题。
winnet 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 32 粉丝 0 关注私信	winnet 2005-11-9 21:10 20 楼 0 收获不小呀!!支持..
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

lee

发帖

225

回帖

130

RANK

关注

私信

他的文章

[求助]ARM库文件如何插入几句汇编语句

[求助]关于消息断点的内存问题

[求助]关于一个DIY的问题

[求助]求ARM反汇编教程

[讨论]关于嵌入式反汇编

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
vcasm 雪币： 262 活跃值： (152) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 2005-1-17 10:53 2 楼 0 这主要是这2个函数的参数定义不一样造成的 printf函数调用的堆栈是调用者负责平衡的，所以调用的时候必须在call后面add esp，4*参数数目，MessageBoxA函数是函数内部负责堆栈平衡所以直接调用就可以了在使用call的时候最好看看调用的函数定义的申明
lee 雪币： 255 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 45 回帖 225 粉丝 0 关注私信	lee 3 2005-1-17 11:00 3 楼 0 CALL printf //这种是直接调用函数 CALL DWORD PTR[MessageBox] //这种为什么是地址我想要知道的是调用方式，两者的区别。。。
vcasm 雪币： 262 活跃值： (152) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 2005-1-17 11:16 4 楼 0 由于使用了内联汇编，C编译器将MessageBox申明为一个指向dword地址的指针，这个地址用于存放MessageBoxA加载后的内存地址，所以需要call [MessageBox] 上面的例子不同 printf函数在c编译器里面函数实体已经被编译到程序里面了，函数的地址明确不需要重定位，所以可以使用call addr
dssz 雪币： 233 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 259 粉丝 0 关注私信	dssz 2005-1-17 11:39 5 楼 0 换种说法 printf是使用静态连接，直接把函数代码写到EXE中 MessageBox是动态连接，MessageBox在程序中只是一个指针，当EXE要使用的时候，只能根据这个指针去读取DLL中函数代码
lee 雪币： 255 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 45 回帖 225 粉丝 0 关注私信	lee 3 2005-1-17 12:04 6 楼 0 谢谢！！！
goldenegg 雪币： 226 活跃值： (330) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 2005-1-17 13:42 7 楼 0 最初由 vcasm 发布由于使用了内联汇编，C编译器将MessageBox申明为一个指向dword地址的指针，这个地址用于存放MessageBoxA加载后的内存地址，所以需要call [MessageBox] 上面的例子不同 printf函数在c编译器里面函数实体已经被编译到程序里面了，函数的地址明确不需要重定位，所以可以使用call addr 错了，真正的原因在于定义方式。不要包含任何头文件：这样写： int __stdcall MessageBoxA(void* hWnd, const char * lpText, const char * lpCaption, unsigned int uType ); 就要这样调用 call MessageBoxA 如果这样写： __declspec(dllimport) int __stdcall MessageBoxA(void* hWnd, const char * lpText, const char * lpCaption, unsigned int uType ); 就要这样调： call dword ptr [MessageBoxA] 因为vc的头文件已经默认给写上了__declspec(dllimport) 所以就必须call dword ptr [MessageBox]
lee 雪币： 255 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 45 回帖 225 粉丝 0 关注私信	lee 3 2005-1-19 11:57 8 楼 0 到底那一个说的对啊？？？
blowfish 雪币： 3246 活跃值： (339) 能力值： (RANK：20 ) 在线值：发帖 15 回帖 295 粉丝 7 关注私信	blowfish 2005-1-19 12:54 9 楼 0 他们说的不矛盾，是因为__declspec(dllimport)关键字的原因。对于使用了__declspec(dllimport)关键字来声明的函数，VC会将对这些函数的调用翻译成一个间址的call，通过IAT来调用，如果你是用C/C++自然不用关心怎么调用，但用汇编就得按编译器的翻译规则来。MSDN里对__declspec(dllimport)有详细描述。
lee 雪币： 255 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 45 回帖 225 粉丝 0 关注私信	lee 3 2005-1-19 17:03 10 楼 0 终于明白了！！！！！！
lee 雪币： 255 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 45 回帖 225 粉丝 0 关注私信	lee 3 2005-1-19 17:03 11 楼 0 对了，谢谢！！！！！！！呵呵~~~~~~~~~~~~
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 2005-1-25 07:18 12 楼 0 各位~~~~看图吧
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 2005-1-25 07:22 13 楼 0
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 2005-1-25 07:25 14 楼 0 多了图
backer 雪币： 1829 活跃值： (1333) 能力值： (RANK：50 ) 在线值：发帖 27 回帖 324 粉丝 106 关注私信	backer 1 2005-1-26 23:36 15 楼 0 最后贴的是静态联编的是吧? 把源代码也贴出来对比看看啊
阵雨雪币： 216 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 274 粉丝 1 关注私信	阵雨 2005-1-27 03:09 16 楼 0 晕，你别看错了啊，黑体就是源代码，编译出来的是灰体
backer 雪币： 1829 活跃值： (1333) 能力值： (RANK：50 ) 在线值：发帖 27 回帖 324 粉丝 106 关注私信	backer 1 2005-1-28 18:52 17 楼 0 没注意,呵呵,真不好意思啊
hmimys 雪币： 239 活跃值： (473) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 356 粉丝 0 关注私信	hmimys 2 2005-6-27 09:24 18 楼 0 看了比较有收获，谁在说说在BCB中的吧
Yonsm 雪币： 81 活跃值： (41) 能力值： (RANK：220 ) 在线值：发帖 16 回帖 45 粉丝 1 关注私信	Yonsm 5 2005-9-30 14:44 19 楼 0 关键是――MessageBoxA 是在DLL中引入的，而printf却不是。就是这点区别。 DLL 引入的函数，因为DLL的Base Address是不确定的，所以需要重定位，即载入DLL后才知道MessageBoxA的真正的地址。（理论上）而 printf 是编译后就确定了的，所以没问题。
winnet 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 32 粉丝 0 关注私信	winnet 2005-11-9 21:10 20 楼 0 收获不小呀!!支持..
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复