结构体的反汇编分析

最新推荐文章于 2024-04-30 23:14:46 发布
最新推荐文章于 2024-04-30 23:14:46 发布
阅读量394 收藏 2
点赞数
分类专栏: 底层逆向学习 文章标签: c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31125257/article/details/120818103
版权

一、为什么用结构体?

char、short、int、float、数组等都是宽度不同的容器,用来存储程序执行所需要和所产生的数据,其中数组是存储相同宽度数据的容器,那么当需要存储不同宽度的不同类型的数据时,结构体是一个非常适合的选择
在这里插入图片描述

二、结构体的定义和使用

结构体的定义

  • 结构体内部变量在定义时,除了自身以外可以使用任何类型(不能递归定义)
    在这里插入图片描述

结构体的使用

在这里插入图片描述
在这里插入图片描述

三、结构体作参数和返回值

struct MyStruct1{char a ;short b ;int c ;__int64 d;};
struct MyStruct2{char aa;int bb; MyStruct1 s1;};
MyStruct2 func1(MyStruct2 s1) {
00301800  push        ebp  
00301801  mov         ebp,esp  
00301803  sub         esp,0E4h  
00301809  push        ebx  
0030180A  push        esi  
0030180B  push        edi  
0030180C  lea         edi,[ebp-24h]  
0030180F  mov         ecx,9  
00301814  mov         eax,0CCCCCCCCh  
00301819  rep stos    dword ptr es:[edi]  
//被调用函数需要寻找结构体变量时,会增加以下三句汇编
0030181B  mov         eax,dword ptr ds:[0030A004h]  
00301820  xor         eax,ebp  
00301822  mov         dword ptr [ebp-4],eax  

00301825  mov         ecx,30C029h  
0030182A  call        00301311  
	MyStruct2 s2 = s1;
0030182F  mov         eax,dword ptr [ebp+0Ch]  
00301832  mov         dword ptr [ebp-20h],eax  
00301835  mov         ecx,dword ptr [ebp+10h]  
00301838  mov         dword ptr [ebp-1Ch],ecx  
0030183B  mov         edx,dword ptr [ebp+14h]  
0030183E  mov         dword ptr [ebp-18h],edx  
00301841  mov         eax,dword ptr [ebp+18h]  
00301844  mov         dword ptr [ebp-14h],eax  
00301847  mov         ecx,dword ptr [ebp+1Ch]  
0030184A  mov         dword ptr [ebp-10h],ecx  
0030184D  mov         edx,dword ptr [ebp+20h]  
00301850  mov         dword ptr [ebp-0Ch],edx  
	s2.aa = 'A';
00301853  mov         byte ptr [ebp-20h],41h  
	s2.bb = 12;
00301857  mov         dword ptr [ebp-1Ch],0Ch  
	s2.s1.a = 1;
0030185E  mov         byte ptr [ebp-18h],1  
	s2.s1.b = 2;
00301862  mov         eax,2  
00301867  mov         word ptr [ebp-16h],ax  
	s2.s1.c = 3;
0030186B  mov         dword ptr [ebp-14h],3  
	s2.s1.d = 5;
00301872  xor         eax,eax  
00301874  mov         dword ptr [ebp-10h],5  
0030187B  mov         dword ptr [ebp-0Ch],eax  
	return s2;
0030187E  mov         eax,dword ptr [ebp+8]  
00301881  mov         ecx,dword ptr [ebp-20h]  
00301884  mov         dword ptr [eax],ecx  
00301886  mov         edx,dword ptr [ebp-1Ch]  
00301889  mov         dword ptr [eax+4],edx  
0030188C  mov         ecx,dword ptr [ebp-18h]  
0030188F  mov         dword ptr [eax+8],ecx  
00301892  mov         edx,dword ptr [ebp-14h]  
00301895  mov         dword ptr [eax+0Ch],edx  
00301898  mov         ecx,dword ptr [ebp-10h]  
0030189B  mov         dword ptr [eax+10h],ecx  
0030189E  mov         edx,dword ptr [ebp-0Ch]  
003018A1  mov         dword ptr [eax+14h],edx  
003018A4  mov         eax,dword ptr [ebp+8]  
}

int main() {
00301940  push        ebp  
00301941  mov         ebp,esp  
00301943  sub         esp,140h  
00301949  push        ebx  
0030194A  push        esi  
0030194B  push        edi  
0030194C  lea         edi,[ebp-80h]  
0030194F  mov         ecx,20h  
00301954  mov         eax,0CCCCCCCCh  
00301959  rep stos    dword ptr es:[edi]  
0030195B  mov         ecx,30C029h  
00301960  call        00301311  
	MyStruct2 s = { 0,1,2,3,4,5 };
00301965  mov         byte ptr [ebp-1Ch],0  
00301969  mov         dword ptr [ebp-18h],1  
00301970  mov         byte ptr [ebp-14h],2  
00301974  mov         eax,3  
00301979  mov         word ptr [ebp-12h],ax  

 - [ ] //存储3的时候为啥用了eax来中转,而存储4的时候确不用eax来中转呢???

0030197D  mov         dword ptr [ebp-10h],4  
00301984  xor         eax,eax  
00301986  mov         dword ptr [ebp-0Ch],5  
0030198D  mov         dword ptr [ebp-8],eax  
	MyStruct2 ss = func1(s);
00301990  sub         esp,18h  
00301993  mov         eax,esp  
00301995  mov         ecx,dword ptr [ebp-1Ch]  
00301998  mov         dword ptr [eax],ecx  
0030199A  mov         edx,dword ptr [ebp-18h]  
0030199D  mov         dword ptr [eax+4],edx  
003019A0  mov         ecx,dword ptr [ebp-14h]  
003019A3  mov         dword ptr [eax+8],ecx  
003019A6  mov         edx,dword ptr [ebp-10h]  
003019A9  mov         dword ptr [eax+0Ch],edx  
003019AC  mov         ecx,dword ptr [ebp-0Ch]  
003019AF  mov         dword ptr [eax+10h],ecx  
003019B2  mov         edx,dword ptr [ebp-8]  
003019B5  mov         dword ptr [eax+14h],edx  
003019B8  lea         eax,[ebp+FFFFFEC4h]  
003019BE  push        eax  
003019BF  call        003010CD  
003019C4  add         esp,1Ch  
003019C7  mov         ecx,dword ptr [eax]  
003019C9  mov         dword ptr [ebp+FFFFFEE4h],ecx  
003019CF  mov         edx,dword ptr [eax+4]  
003019D2  mov         dword ptr [ebp+FFFFFEE8h],edx  
003019D8  mov         ecx,dword ptr [eax+8]  
003019DB  mov         dword ptr [ebp+FFFFFEECh],ecx  
003019E1  mov         edx,dword ptr [eax+0Ch]  
003019E4  mov         dword ptr [ebp+FFFFFEF0h],edx  
003019EA  mov         ecx,dword ptr [eax+10h]  
003019ED  mov         dword ptr [ebp+FFFFFEF4h],ecx  
003019F3  mov         edx,dword ptr [eax+14h]  
003019F6  mov         dword ptr [ebp+FFFFFEF8h],edx  
003019FC  mov         eax,dword ptr [ebp+FFFFFEE4h]  
00301A02  mov         dword ptr [ebp-3Ch],eax  
00301A05  mov         ecx,dword ptr [ebp+FFFFFEE8h]  
00301A0B  mov         dword ptr [ebp-38h],ecx  
00301A0E  mov         edx,dword ptr [ebp+FFFFFEECh]  
00301A14  mov         dword ptr [ebp-34h],edx  
00301A17  mov         eax,dword ptr [ebp+FFFFFEF0h]  
00301A1D  mov         dword ptr [ebp-30h],eax  
00301A20  mov         ecx,dword ptr [ebp+FFFFFEF4h]  
00301A26  mov         dword ptr [ebp-2Ch],ecx  
00301A29  mov         edx,dword ptr [ebp+FFFFFEF8h]  
00301A2F  mov         dword ptr [ebp-28h],edx  
	return 0;
00301A32  xor         eax,eax
逮虾户肉丝
关注
专栏目录
使用反汇编工具IDA查看发生异常的汇编代码的上下文去辅助分析C++软件异常
dvlinker的技术专栏
08-08 3万+
详细讲述如何使用IDA查看发生异常的汇编代码的上下文,去辅助分析C++软件异常。
使用反汇编工具IDA查看动态库的汇编代码上下文,结合安卓系统生成的Tombstone文件,排查安卓app程序底层C++库的崩溃问题
热门推荐
dvlinker的技术专栏
08-14 3万+
使用IDA反汇编工具查看汇编代码上下文,结合安卓系统自动生成的Tombstone文件,去分析安卓app程序底层C++模块的崩溃问题。
结构体位操作--反汇编(二)
Linux Driver回忆录
02-16 1370
有了第一篇文章的基础,现在我们来分析一个问题:假设某个FPGA的32位寄存器,我们打算用第一篇文章那样的结构体位域的形式来实现对该寄存器的读写。跟第一篇的内容类似,基本上就是结构体的声明不同,当在我们自己的PC机上测试,编译,执行,结果都没有问题。但是在FPGA上放起来时,却发现结果总是不正确。因为要用该结构体来访问寄存器,下面假定FPGA的32位寄存器地址是宏FPGA_REG_ADDR代表的地址
结构体位操作--反汇编(一)
Linux Driver回忆录
02-14 2040
结构体位操作
c语言结构体反汇编,结构体位操作--反汇编(一)
weixin_39817391的博客
05-24 439
先看下面的代码:1 #include 2 #include 34 typedef unsigned long ulong;56 struct A7 {8 ulong board_type: 1;9 ulong channel_type: 3;10 ulong fpga_en : 1;11 ulong fpga_downloade...
结构体作为参数的反汇编
weixin_30493321的博客
10-14 331
1:函数传参数的方式是将数据进行拷贝传递的。 2:基本数据类型编译器一般是通过PUSH指令来将参数入栈的,但是当传入的参数是结构体时,会采取,函数堆栈初始化的方式进行参数的拷贝 PUST EBP MOVE EBP,ESP SUP ESP,40H MOV ESI,[EBP-40] MOV EAX,0CCCCCCCH MOV ECX,16H; 需要初始化的堆栈的长度是4...
数组、结构体、类的反汇编
weixin_34295316的博客
10-24 149
本文主要主要研究C++数组,结构以及类的反汇编。 1.数组 数组在内存式一块连续的区域。比如当声明char ch[100]的时候, 我们知道栈是向下增长的, 所以我们开辟地址空间的时候起地址就为[esp(esp会赋值给ebp) – 100, esp].我们可以看下如下的列子: 1 char buf[100]; 2 for (int i = 0; i < 100...
C++反汇编视频教程(代码+课件+视频全套价值300元的付费教程)
04-04
价值500元的C++反汇编收费课程:课程介绍 本套课程主要探讨如何读懂 C/C++ 语言程序的反汇编代码。所谓反汇编,简单的讲就是把可执行文件的二进制编码翻译成汇编语言代码,从汇编代码读懂原高级语言的含义。这是...
OllyDbg汇编/反汇编引擎
09-26
结构体用来存放反汇编数据。 disasmmode反汇编模式。 汇编功能: int Assemble(char *cmd, ulong ip, t_asmmodel *model, int attempt, int constsize, char *errtext) 返回值是指令长度 cmd指向汇编指令字符串的...
C函数返回结构体在汇编下的实现
sytstarac的专栏
08-05 2465
 编译器:vc++6.0(因为此种实现依赖编译器处理)此处只简要叙述一下机制。并附部分关键指令序列。 准备:1,关于EBP:称做栈基址指针。为什么这样说呢?我们先来看看函数调用的过程:参数从右到左压栈。call指令执行,该指令将导致EIP压栈。每个函数前两句必定是:push ebp   mov ebp,esp。则call指令后,跳到被调函数出开始执行。保存ebp,即
反汇编基本结构(逆向新手必看)
12-06
反汇编基本结构(逆向新手必看)
最好的PB反编译工具,能够反编译PB7\8\9\10\11\12各个版本,直接导出源文件。
10-28
最好的PB反编译工具,能够反编译PB7\8\9\10\11\12各个版本,直接导出源文件。
反汇编 结构体 系统函数
08-10 689
typedef struct EH3_EXCEPTION_REGISTRATION {     DWORD    Next;     DWORD    ExceptionHandler;     DWORD    ScopeTable;     DWORD    TryLevel; }_EH3_EXCEPTION_REGISTRATION; typedef struct CPPEH_RECORD...
C++反汇编学习笔记4——结构体和类1
Traxer的学习之路
12-17 2061
在C++类和结构体都具有构造函数、析构函数和成员函数,两者的唯一区别就在于结构体的默认访问控制为public,而类则是private。在C++对于访问控制都是在编译期进行检查,所以在执行时程序不会对访问控制做任何检查和限制,因此在反汇编两者没有区别,两者原理相同只是类型名称不同。 1.对象的内存布局 了解C++就必然要了解类,所以类和对象之间的关系这里就不再多说,就举几个简单的小例子:
C语言反汇编_数组和结构体
qq_35289660的博客
03-13 1131
C语言反汇编_数组与结构体 文章目录C语言反汇编_数组与结构体@[toc]0 . 说明1.数组1.数组对应堆栈空的分配2.数组的寻址1.一维数组2.二维数组3.三维数组3.数组的作为函数参数2.结构体 0 . 说明 ​ 看滴水逆向视频总结笔记 ​ 编译器VC++6.0 1.数组 1.数组对应堆栈空的分配 ​ 数组在汇编的位置与普通局部变量有一些细节上的差异,一般局部变量都是从栈底依次分配到栈底,...
结构体反汇编解析
最新发布
weixin_45131087的博客
04-30 139
原因:只有在定义这个结构体变量时候,编译器就去看这个结构体的定义,然后结构体都是基础数据类型组成的,占用内存的大小都是确定的,所以可以通过偏移来访问结构体成员。如果是地址就是采用箭头,箭头是偏移的意思,就像x86内核要取出寄存器的信息,定义一个结构体,然后用偏移来访问各个寄存器的值。可能是现在vscode编辑器的优化,把一些压栈的操作给忽略了,所以更加直白一些。,这是将在堆创建了两个int变量,然后puser指向第一个int变量。发现在定义结构体的部分是没有汇编代码的。实体取出值就是按点(.)来访问。
C语言反汇编代码(三大结构)
qq_36811299的博客
08-16 3360
三大结构反汇编
C++反汇编->类,结构体,命名空间分析
Rana专栏
04-12 1431
C++反汇编->类,结构体,命名空间分析
C++反汇编学习笔记5——结构体和类2
Traxer的学习之路
12-17 1334
两年前写的,欢迎大家吐槽! 转载请注明出处。 3.静态数据成员 CStatic类具有静态的数据成员,现在来看一下它与上面提到过的类有什么不同: class CStatic { public:     void ShowNumber()     {         printf("m_nInt= %d , m_snInt = %d", m_nInt, m_snInt);
IDA反汇编基础教程:从C程序到逆向分析
IDA(Interactive Disassembler Pro)是一款强大的反汇编工具,广泛用于软件逆向工程和恶意代码分析。本教程将深入介绍如何使用IDA来解析和理解C语言编写的程序。教程内容涵盖从基本的数据类型识别到复杂的结构体...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值