结构体
struct是由一系列具有相同类型或不同类型的数据构成的数据集合,也叫结构。它的实现方法上和数组是一样的,即每一个成员的访问是直接寻址方式。唯一的区别是,为了提高访问效率,成员无论类型为何,编译器将它们按照4字节对齐。
eg:struct test
{
char str;
int i;
};
test a={'A',0};
debug:
0041139E mov byte ptr [ebp-0Ch],41h //4字节对齐
004113A2 mov dword ptr [ebp-8],0
同样的尴尬
和数组一样,直接从二进制代码上判断结构体边界,并且它比数组的判断更难。尤其是自定义结构体。
1. struct TimeCount
{
time_t Begin;
time_t End;
};
TimeCount clock;//很好的书写习惯
2. tme_t Begin,End;//稍微懒一点
3.time_t a[2];//太恶劣了
这三个声明是等价的,struct的界定应该说很多时候是非常随意的,但是以下情况是必须准确判断:
1. 变量是结构体数组时,如果不想还原的代码,写满屏幕的话,嘿嘿...
2. 以指针形式在函数间传递时,好在这种情况很少是自定义结构体,这使得我们通常可以借助OD、IDA帮你判断。出现自定义结构体时,绝大多数情况又是队列、二叉树等等,只要经验足够的话是不难的。
3.4字节对齐产生数据空隙时,这么容易判断的时候,有便宜不占是白痴。