11.IDA-this指针

最新推荐文章于 2023-12-14 09:34:30 发布

花熊

最新推荐文章于 2023-12-14 09:34:30 发布

阅读量2.3k

点赞数 1

分类专栏： IDA 文章标签： IDA

本文链接：https://blog.csdn.net/hgy413/article/details/50587262

版权

IDA 专栏收录该内容

23 篇文章 27 订阅

订阅专栏

所有非静态C++成员函数都使用this指针。任何时候调用这样一个函数，this都被初始化，指向用于调用该函数的对象.
最好是把this看成是传递到所有非静态成员函数的第一个隐藏参数.

this存放的地方

1.Visual C++利用thiscall调用约定，并将this传递到ECX寄存器中
2.GNU g++编译器则把this看做是函数的第一个（最左边）参数，并在调用该函数之前将用于调用函数的对象的地址作为最后一项压入栈中

从逆向工程的角度看，在调用函数之前，将一个地址转移到ECX寄存器中可能意味着两件事情
1.该文件使用Visual C++编译
2.该函数是一个成员函数
如果同一个地址被传递给两个或更多函数，我们可以得到结论，这些函数全都属于同一个类层次结构。
如果发现一个函数向其他函数传递this指针，则这些函数可能和传递this的函数属于同一个类

如下示例：

class A
{
public:int fun(){return 1;}
       int Lk(){return fun();}
};
int _tmain(int argc, _TCHAR* argv[])
{
    A a;a.Lk();return 0;
}

对应IDA反汇编如下：
这里写图片描述

附:

构造函数并未指定返回类型，但由Visual C++生成的构造函数实际上把this指针存在EAX寄存器中并返回

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

花熊

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

反汇编工具IDA使用详解（使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享）

dvlinker的技术专栏

10-07

5万+

本文详细介绍一下IDA反汇编工具，介绍如何使用IDA反汇编工具查看二进制文件的汇编代码，并分享一个使用IDA排查程序崩溃的实例。

C++11 新特性 ⑥ | 智能指针 unique_ptr、shared_ptr 和 weak_ptr

热门推荐

dvlinker的技术专栏

09-10

2万+

详细讲解C++11中的智能指针 unique_ptr、shared_ptr 和 weak_ptr。

参与评论您还未登录，请先登录后发表或查看评论

19.IDA-栈指针调节、设置函数特性

hgy413的专栏

02-03

6277

栈指针调节 IDA会尽其所能跟踪函数内每一条指令上的栈指针的变化。IDA跟踪这种变化的准确程度，在很大程度上影响着函数的栈帧布局的准确程度。如果IDA无法确定一条指令是否更改了栈指针，你就需要手动调整栈指针如果一个函数调用了另一个使用stdcall调用约定的函数，就会出现上述情况，这是最简单的一种情况。如果被调用的函数位于IDA无法识别的共享库中（IDA拥有与许多常用库函数的签名和调用约

理解this指针

无

12-06

278

前言从前也对this指针感到疑惑，比如，它为什么能够用来表示当前对象。后来了解了一些底层原理后，就逐渐想通了。定义从语法上来讲，this指针可以看做是当前对象，我们可以用它来间接访问对象里的成员和函数。从本质上来说，this指针是一个特殊类型的指针，它保存了对象的地址。如果你不懂什么是指针的话，可以看一下博主写的这篇文章理解指针原理为了方便说明，使用如下代码来解释this指针的原...

一般函数指针和类的成员函数指针

Java教程

04-25

891

函数指针是通过指向函数的指针间接调用函数。函数指针可以实现对参数类型、参数顺序、返回值都相同的函数进行封装，是多态的一种实现方式。由于类的非静态成员函数中有一个隐形的this指针，因此，类的成员函数的指针和一般函数的指针的表现形式不一样。 1、指向一般函数的指针函数指针的声明中就包括了函数的参数类型、顺序和返回值，只能把相匹配的函数地址赋值给函数指针。为了封装同类型的函数，可以把函数指针作为

12.IDA-虚函数和虚表

hgy413的专栏

01-26

5512

vtable编译器会为每一个包含虚函数的类（或通过继承得到的子类）生成一个表，其中包含指向类中每一个虚函数的指针，这样的表就叫做虚表（vtable）__vfptr每个包含虚函数的类对象都获得__vfptr指针，并且是对象的第一个数据成员编译器必须要保证虚函数表的指针存在于对象实例中最前面的位置在计算对象的总大小时，也必须考虑到虚表指针。比如new，传递给new的大小值不仅包括类（以及任何超类

OD-IDA应用-分析C++常量-字符串-指针-对象-虚函数

weixin_30954607的博客

07-26

533

OD一些常用的功能？？设置软件断点：F2 运行程序：F9 单步步入：F7 单步步过：F8 运行到光标处：F4 如果说我们分析的时候，在反汇编窗口中看到一个地址，想查看这个位置的内存：右键》数据窗口中跟随如果说想在反汇编窗口查看一个代码：右键》反汇编窗口中跟随如果说我们想搜索指令：右键-查找-命令 ...

每天一个IDA小技巧（五）C++基本特性1

08-03

使⽤用虚表指针导致的⼀一个后果是，在操纵 IDA 中的类时，你必须考虑到虚表指针。。对象的⽣生命周期了了解对象的构建和撤销机制，有助于明确对象的层次结构和嵌套对象关系，并有助于迅速确定类构造函数和析构...

恶意代码分析实战-通过IDA对恶意代码进行静态分析（Lab05-01.dll）

maluxiao123的博客

10-19

1363

恶意代码分析实战，Lab05-01.dll

IDA PRO 09 - 反汇编基础03

最新发布

a5right的博客

12-14

1186

对于包含虚函数的类，你必须将一个虚表指针作为类中的第一个字段。在计算对象的总大小时，也必须考虑到虚表指针。这种情况在使用 new 操作符动态分配对象时最为明显，这时，传递给new 的大小值不仅包括类（以及任何超类）中的所有显式声明的字段占用的空间，而且包括虚表指针所需的任何空间。下面的例子动态创建了 SubClass 的一个对象，它的地址保存在BaseClass 的一个指针中。

逆向基础（三）--- IDA中的虚函数

移动（IoT）安全

07-20

2847

这片文章（C++中的多态及实现原理（虚函数））阐述了多态的使用以及利用虚函数实现多态的原理，主要是从正向侧说明。我们在逆向过程中也会经常遇到虚函数的使用，在逆向中，在IDA中，虚函数又是什么样子的呢？本文实例代码： /* C++多态测试实例 */ #include <string> #include <iostream> using namespace std; //基类 class Base { public: virtual void vfunc1() {

this全面解析, 如何定位this指向，一文总结，再也不怕面试官追问啦

鹤汀凫渚的博客

09-01

369

这像局部，那像全局，它到底是个什么鬼.....

IDA逆向笔记-C/C++语言入参顺序约定和结构体

qq_20031585的博客

04-04

5424

C/C++函数在不同平台，不同调用约定导致编译成汇编时，会有参数传递，出入栈，初始化局部变量和栈的管理各有不同，了解这个过程，会减少汇编识别的不确定度，增加后续动态静态反编译的灵活度。

IDEA入门实录——this的使用

m0_68519425的博客

03-26

356

总结：当属性名字和形参发生重名的时候，或者，属性名字和局部变量重名的时候，都会发生就近原则，所以如果我要是直接使用变量名字的话就指的是离得近的那个形参或局部变量，这时候如果我想要表示属性的话，在前面要加上：this.修饰。总结：同一个类中的构造器可以相互this调用，注意：this修饰构造器必须放在第一行。System.out.println("我喜欢吃饭");System.out.println("吃饭");总结：在同一个类中，方法可以互相调用，this.可以省略不写。

IDA系列--高级技巧--数据结构

Tasfa的博客

10-09

1309

当源码的函数中使用了结构体类型的变量时，反汇编代码中对于结构体中成员的获取往往都是通过一个`指针 + offset`来获取的。对于阅读源码静态分析极其麻烦，因此需要创建数据结构简化分析

C++中虚函数、虚指针和虚表详解

bob的博客

09-28

5388

关于虚函数的背景知识用virtual关键字申明的函数叫做虚函数，虚函数肯定是类的成员函数。存在虚函数的类都有一个一维的虚函数表叫做虚表。每一个类的对象都有一个指向虚表开始的虚指针。虚表是和类对应的，虚表指针是和对象对应的。多态性是一个接口多种实现，是面向对象的核心。分为编译多态性和运行多态性。运行多态用虚函数来实现，结合动态绑定。纯虚函数是虚函数再加上=0。并且该函数只有声明，没有实现。抽象类是指包括至少一个纯虚函数的类。详细原理：编译器在编译的时候，发现Base类中有虚函数，此时编译器

IDA头文件摘录

m0_46296905的博客

04-27

1375

本文取自IDA7.5安装目录下plugins文件夹中的defs.h头文件，摘录了ida反汇编的宏以方便日后查找使用。 /* This file contains definitions used in the Hex-Rays decompiler output. It has type definitions and convenience macros to make the output more readable. Copyright (c) 2007-2020 He.

IDA工具各个功能总结

墨痕诉清风的博客

02-14

1万+

生成文件：保存后生成的文件 id0:二叉树数据库 id1:文件包含描述每个程序字节的标记 nam:包含IDA NAME窗口的数据库 til:本地数据库有关信息导航带颜色常用菜单 ESC键：后退键（避免在窗口标题栏使用，退出窗口）绿色箭头为YES，红色箭头为NO，蓝色箭头为下一个立即执行的块，拖动线可以改变连接路径。恢复源图形，右键鼠标菜单，点击布局图表。...

IDA.【转】5.IDA-文本搜索、二进制搜索（16进制字节序列）、替换16进制

05-17

IDA是一款非常强大的反汇编工具，它不仅可以将二进制文件反汇编成汇编代码，还可以对汇编代码进行分析和调试。在IDA中，我们可以进行文本搜索、二进制搜索和替换16进制字节序列等操作。 1. 文本搜索在IDA中，我们可以使用快捷键Ctrl+F或者点击菜单“Edit”->“Find”来进行文本搜索。在搜索框中输入要查找的文本，点击“Find”按钮即可。如果要查找下一个匹配项，可以使用快捷键F3或者点击菜单“Edit”->“Find Next”。 2. 二进制搜索在IDA中，我们也可以进行二进制搜索。首先，我们需要打开“Hex View-A”窗口，该窗口可以显示二进制文件的16进制表示。在该窗口中，我们可以使用快捷键Ctrl+F或者点击菜单“Search”->“Find Bytes”来进行二进制搜索。在搜索框中输入要查找的16进制字节序列，点击“OK”按钮即可。如果要查找下一个匹配项，可以使用快捷键F3或者点击菜单“Search”->“Find Next”. 3. 替换16进制字节序列在IDA中，我们也可以替换16进制字节序列。首先，我们需要打开“Hex View-A”窗口。在该窗口中，我们可以使用快捷键Ctrl+R或者点击菜单“Search”->“Replace Bytes”来进行替换操作。在弹出的对话框中，输入要查找的16进制字节序列和要替换的16进制字节序列，然后点击“OK”按钮即可。如果要替换所有匹配项，可以点击“Replace All”按钮。以上就是IDA中文本搜索、二进制搜索和替换16进制字节序列的操作方法。在实际使用中，这些操作非常实用，可以帮助我们更快地定位和解决问题。