IDA中的_OWORD

最新推荐文章于 2025-02-09 15:56:19 发布
最新推荐文章于 2025-02-09 15:56:19 发布
阅读量7.3k 收藏 4
点赞数 2
分类专栏: c 文章标签: IDA _OWORD OCT DEC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LQMIKU/article/details/89309022
版权

IDA中的_OWORD

996.icu LICENSE

  • 一个有意思的巧合
  • _OWORD的含义
  • 总结

阅读之前注意:

本文阅读建议用时:5min
本文阅读结构如下表:

项目下属项目测试用例数量
一个有意思的巧合0
_OWORD的含义1
总结0

一个有意思的巧合

正如我们所知道的那样,在英文的月份缩写中,OCT代表着十月(October),而DEC代表着十二月(December)。
但是对于经常接触进制转换的程序员来说,他们还有着额外的意思,OCT代表八进制(octal),DEC则代表十六进制(hexadecimal)。
真是一种奇怪的巧合!

_OWORD的含义

在IDA中,_WORD代表一个字(1个字=2个字节=16位),_DWORD代表两个字(2个字=4个字节=32位),_QWORD(4个字=8个字节=64位)。
现在,你应该知道_OWORD代表什么意思了吧?

没错,_OWORD(8个字=16个字节=128位)!

尽管我们在常见的IDA头文件定义中可以看到如下宏定义,但_OWORD却没有被定义。

/*

This file contains definitions used by the Hex-Rays decompiler output.
It has type definitions and convenience macros to make the
output more readable.

Copyright (c) 2007-2011 Hex-Rays

*/


#if defined(__GNUC__)
typedef          long long ll;
typedef unsigned long long ull;
#define __int64 long long
#define __int32 int
#define __int16 short
#define __int8  char
#define MAKELL(num) num ## LL
#define FMT_64 "ll"
#elif defined(_MSC_VER)
typedef          __int64 ll;
typedef unsigned __int64 ull;
#define MAKELL(num) num ## i64
#define FMT_64 "I64"
#elif defined (__BORLANDC__)
typedef          __int64 ll;
typedef unsigned __int64 ull;
#define MAKELL(num) num ## i64
#define FMT_64 "L"
#else
#error "unknown compiler"
#endif
typedef unsigned int uint;
typedef unsigned char uchar;
typedef unsigned short ushort;
typedef unsigned long ulong;

typedef          char   int8;
typedef   signed char   sint8;
typedef unsigned char   uint8;
typedef          short  int16;
typedef   signed short  sint16;
typedef unsigned short  uint16;
typedef          int    int32;
typedef   signed int    sint32;
typedef unsigned int    uint32;
typedef ll              int64;
typedef ll              sint64;
typedef ull             uint64;

// Partially defined types:
#define _BYTE  uint8
#define _WORD  uint16
#define _DWORD uint32
#define _QWORD uint64
#if !defined(_MSC_VER)
#define _LONGLONG __int128
#endif

这是为什么呢?我们直观的理解下,你可能很熟悉int、float、double、char这些数据类型,但C标准中的最大的数据类型long long或者double才只有8个字节(64位)。而_OWORD的128位已经超过这个表示范围了!因此我们没有既看到__int128的宏定义,也没有看到_OWORD的宏定义。

总结

本篇博客的核心是:_OWORD(8个字=16个字节=128位),因为超过了C语言中数据类型可以表示的最大范围(64位)而不被支持,所以需要我们手动实现相关支持。

如果本文对你有帮助,不如请我一杯可乐吧

在这里插入图片描述

文章目录

IDAExample.rar_IDA OPENSEES_OPENSEES_ida_matlab_opensees sdof
07-13
ida example for opensees
IDAPRO.rar_IDA Pro_ida_idapro_ida中文版_vc IDA Pro
09-14
IDA PRO中文版本帮助手册,喜欢IDA的朋友不要错过。
IDA Pro *(_QWORD *)和*(_BYTE *)表达式解释
Jingged的博客
03-30 2628
这种类型转换和解引用的组合在反汇编和逆向工程中非常常见,因为原始源代码中的数据类型和变量名在编译过程中通常会丢失,而分析人员需要依赖工具来理解和解释机器代码。作为一个整体,通常用于将一个地址(或其他整数)转换为一个指向64位无符号整数的指针,并获取该地址上的值。时,这通常意味着某个地址或值被转换为一个指向字节的指针,并且随后会解引用该指针以获取该地址上的字节值。允许你在不知道原始数据类型的情况下,以特定的方式(这里是64位无符号整数)解释和访问内存中的数据。类似,但这里涉及的是1字节(8位)的数据。
IDA dword_xxx DCD 0xxxx用十六进制数表示的字符串解读
AndroidDeveloper的专栏
12-30 4180
使用IDA静态解读代码的时候经常会遇到 dword_746D0 DCD 0x5A2928 类似这种情况。实际上右边的0x5A2928代表的是字符串的十六进制模式,在以下网站可以直接解码 https://www.bejson.com/convert/ox2str/ 我们发现解码后是Z)( 让我们从后往前面解读那就是 ()Z 熟悉Smali的人一定不陌生这个字符串的含义,那就是一个无参返回为bool类型的函数签名 ...
DWORD 和 QWORD
最新发布
ultramand的博客
02-09 928
DWORD: 双字(Double Word),通常为32位(4字节)。QWORD: 四字(Quad Word),通常为64位(8字节)。DWORD是32位,适用于32位系统或处理较小数据。QWORD是64位,适用于64位系统或处理较大数据。选择使用哪种类型取决于具体需求和系统架构。
逆向IDA中Dword,数据提取
Nike_name的博客
04-15 928
写题犯了大病,这些小知识导致我很垃圾的问题都没写出来,记录一下
python中dword类型,Python idaapi.dt_dword方法代碼示例
weixin_29957761的博客
03-25 452
# 需要導入模塊: import idaapi [as 別名]# 或者: from idaapi import dt_dword [as 別名]def _emulate_arm64(start, end, on_BL=None, on_RET=None):"""A very basic partial Arm64 emulator that does just enough to find OSM...
IDA理解:(*(void (__stdcall **)(volatile signed __int32 *))(**(_DWORD **)v16 + 4))(v16);
Michael
03-10 647
1. *(_DWORD **)v16:将指针 v16 强制转换为 _DWORD ** 类型,然后取出指针所指向的 _DWORD * 类型的值,再取出该值所指向的 _DWORD 类型的值。*(void (__stdcall **)(volatile signed __int32 *)):将上一步得到的地址强制转换为一个指向函数指针的指针,该函数指针的参数为 volatile signed __int32 * 类型,返回值为 void 类型,调用约定为 __stdcall。
IDA伪代码前缀
chy898225957的博客
01-17 709
tbyte_ :浮点数,80位(或扩展精度浮点数)dword_ :数据,32位数据(或双字数组)qword_ :数据,64位数据(或4字数组)word_: 数据,16位数据(或字数组)flt_ :浮点数据,32位(或浮点数组)dbl_: 浮点数,64位(或双精度数组)byte_ :数据,字节(或字节数组)stru_ :结构体(或结构体数组)asc_ :数据,ASCII字符串。seg_ :数据,包含段地址值。sub_: 指令和子函数起点。off_ :数据,包含偏移量。locret_ :返回指令。
IDA.rar_IDA的_ida_汇编_逆向_閫嗗悜
09-19
在“IDA.rar_IDA的_ida_汇编_逆向_閫嗗悜”这个压缩包中,包含了一份“IDA简易教程.mht”和“www.pudn.com.txt”两个文件,它们提供了关于IDA的基础使用和相关知识的介绍。 **IDA简易教程.mht** 这份教程可能涵盖...
IDA-Pro-5.4-help-chinese.rar_Help!_IDA Pro_IDA chinese_ida_ida p
09-22
IDA Pro的中文帮助手册,值得收藏。
IDA-Pro-5.4.chm.zip_ ida_IDA Pro_IDA Pro 5_ida
09-19
著名逆向工程的工具IDA的使用说明,是中文版的。很好,很实用。
IDA的简单入门使用
wlmt666的博客
11-15 3758
刚刚入门逆向,对这方面知识近乎于0,因此写着一篇笔记,记载自己不懂的和搞会的,以供日后查阅使用。在下才疏学浅,虽然本文内容较为基础,但是难免有不对之处,敬请指正。
IDA简易教程
hscyypmail的专栏
05-30 2515
IDA简易教程                                     作者:www.datarescue.com                                                              mailto:winroot@126.com2004-11-20    初步翻译完成,希望大家指正错误,谢谢!我的鸟语太差大概翻译
byte word dword oword
tt525519836的专栏
03-03 1250
8 bits Byte 16 bits Word 32 bits Dword 64 bits Qword 128 bits Oword
(_DWORD )是什么?
热门推荐
SkYe's Blog
08-15 1万+
*(_DWORD *)是什么? 用IDA分析文件时,出现的反汇编代码,如下图: *(_DWORD *)是强制类型转化,然后在提领指针。 dword是指注册表的键值,每个word为2个字节,dword双字即为4个字节。 结合以上信息可以推出第8行代码*(_DWORD *)(4LL * i + a1)的理解应为: ​ 从 a1[4LL * i] 开始,按DWORD格式取出 四个字节。(其...
IDA命名前缀的含义
kelxLZ的博客
01-20 2322
IDA自动生成假名字,他们用于表示子函数,程序地址和数据。根据不同的类型和值假名字有不同前缀: sub_: 指令和子函数起点 locret_ :返回指令 loc_ :指令 off_ :数据,包含偏移量 seg_ :数据,包含段地址值 asc_ :数据,ASCII字符串 byte_ :数据,字节(或字节数组) word_: 数据,16位数据(或字数组) dword_ :数据,32位数据(或双字数组) qword_ :数据,64位数据(或4字数组) flt_ :浮点数据,32位(或浮点数组) dbl_: 浮点
IDA反汇编之栈帧例释
ComputerInBook的专栏
09-13 2841
使用IDA进行反汇编分析
IDA脚本笔记01
kelxLZ的博客
01-09 1064
Author:ZERO-A-ONE Date:2019-10-29 0x01 读取和修改数据的函数 01 Byte long Byte(long addr) 从虚拟地址addr处读取一个字节值 02 Word long Word(long addr) 从虚拟地址addr处读取一个字(2字节)值 03 Dword long Dword(long addr) 从虚拟地址addr处读取一个双字(4字节)值 04 PatByte void PatchByte(long addr, long val) 设.
python反编译luac_Lua程序逆向之为Luac编写IDA Pro处理器模块
05-13
在Python中,可以使用unluac模块来反编译luac_Lua程序。具体步骤如下: 1. 安装unluac模块。可以使用pip命令进行安装,命令如下: ``` pip install unluac ``` 2. 编写Python脚本来调用unluac模块进行反编译。以下是一个简单的示例脚本: ``` import unluac with open('test.luac', 'rb') as f: data = f.read() decompiled = unluac.decompile(data) with open('test.lua', 'w') as f: f.write(decompiled) ``` 该脚本将test.luac文件反编译为test.lua文件。 3. 将反编译后的Lua代码导入到IDA Pro中。可以使用IDA Pro的Lua插件进行处理。 1. 在IDA Pro中,选择File -> Script file,打开Lua脚本窗口。 2. 在窗口中输入以下代码: ``` local f = io.open("test.lua", "r") local content = f:read("*all") f:close() LoadSource(content, "test.lua") ``` 3. 点击Run按钮,将Lua代码加载到IDA Pro中。 4. 编写IDA Pro处理器模块。可以使用IDA Pro的Python API编写处理器模块,对Lua代码进行分析和处理。以下是一个示例模块: ``` import idaapi class LuaProcessor(idaapi.processor_t): id = 0x8000 + 1 flag = idaapi.PR_USE32 | idaapi.PR_DEFSEG32 cnbits = 8 dnbits = 8 psnames = ["luac"] plnames = ["Luac bytecode"] segreg_size = 0 instruc_start = 0 assembler = { "flag" : flag, "uflag" : 0, "name" : "Luac assembler", "origin" : "luac", "notify" : None, "header" : None, "footer" : None, "segstart" : None, "segend" : None, "assume" : None, "flag2" : 0, "cmnt" : ";", "ascsep" : '"', "accsep" : "'", "esccodes" : "\"'", "a_ascii" : "db", "a_byte" : "db", "a_word" : "dw", "a_dword" : "dd", "a_qword" : "dq", "a_oword" : "xmmword", "a_float" : "dd", "a_double" : "dq", "a_tbyte" : "dt", "a_packreal" : "dq", "a_dups" : "#dups", "a_bss" : "res", "a_seg" : "seg", "a_curip" : "$", "a_public" : "public", "a_weak" : "weak", "a_extrn" : "extrn", "a_comdef" : "comm", "a_align" : "align", "lbrace" : "(", "rbrace" : ")", "a_mod" : "%", "a_band" : "&", "a_bor" : "|", "a_xor" : "^", "a_bnot" : "~", "a_shl" : "<<", "a_shr" : ">>", "a_sizeof_fmt" : "size %s", } def PROCESSOR_ENTRY(): return LuaProcessor() ``` 该模块将Lua代码识别为Luac bytecode,并使用Luac assembler进行处理。 以上就是使用Python反编译luac_Lua程序并为其编写IDA Pro处理器模块的一般步骤。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值