IDA 逆向代码 --- LOBYTE、HIBYTE、BYTE0~BYTE3 的使用

最新推荐文章于 2024-03-30 15:58:25 发布
最新推荐文章于 2024-03-30 15:58:25 发布
阅读量3.4k 收藏 8
点赞数 2
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35576225/article/details/115309919
版权

场景:IDA 反编译的代码,对于取当前数的某位时,使用的是 LOBYTE、HIBYTE、BYTE1~BYTE8,但是实际上,IDA反汇编的代码里面BYTE0和 BYTE8从来没有用过。需要知道其具体的意义。

分析,这些类型数据都存储在defs.h 中,我们逆向代码的时候可以直接将此文件加到工程中,直接创建一个win32工程,贴下列代码:

//测试 LOBYTE、HIBYTE
typedef unsigned char   uint8;
typedef unsigned short   uint16;
typedef unsigned long DWORD_PTR;
#define BYTE  uint8
#define WORD  uint16
#define DWORD unsigned long
#define LOBYTE(w)           ((BYTE)(((DWORD_PTR)(w)) & 0xff))
#define HIBYTE(w)           ((BYTE)((((DWORD_PTR)(w)) >> 8) & 0xff))
#define BYTEn(x, n)   (*((BYTE*)&(x)+n))
#define WORDn(x, n)   (*((WORD*)&(x)+n))
#define BYTE0(x)   BYTEn(x,  0)         // byte 0 (counting from 0)  添加此宏定义
#define BYTE1(x)   BYTEn(x,  1)         // byte 1 (counting from 0)
#define BYTE2(x)   BYTEn(x,  2)
#define BYTE3(x)   BYTEn(x,  3)
#define BYTE4(x)   BYTEn(x,  4)
	
 
	unsigned int data = 0x12345678;
 
	printf("%04X\n", LOBYTE(data));//0078 ,所以LOBYTE相当于就是BYTE0;
	printf("%04X\n", HIBYTE(data));//0056  所以HIBYTE相当于就是BY

 

爱吃素的武士
关注
专栏目录
C++: byte和int的相互转化和LOBYTE+HIBYTE的应用
bmjhappy的专栏
11-05 2025
byte不是一种新类型,在C++中byte被定义的是unsigned char类型;但在C#里面byte被定义的是unsigned int类型 //int转byte void intToByte(int i,byte *bytes,int size = 4) { //byte[] bytes = new byte[4]; memset(bytes,0,sizeof(byt...
学习LOWORD、 HIWORD、LOBYTEHIBYTE
weixin_33975951的博客
03-20 502
对消息的处理中我们经常需要将WPARAM或LPARAM等32位数据(DWORD)分解成两个16位数据(WORD),例如: LPARAM lParam; WORD loValue = LOWORD(lParam);///取低16位 WORD hiValue = HIWORD(lParam);///取高16位   对于16位的数据(WORD)我们可以用同样的方法分解...
LOWORD, HIWORD, LOBYTE, HIBYTE的理解
zhanglidn013的专栏
12-12 7958
LOWORD()得到一个32bit数的低16bit   HIWORD()得到一个32bit数的高16bit LOBYTE()得到一个16bit数最低(最右边)那个字节 HIBYTE()得到一个16bit数最高(最左边)那个字节 LOWORD, HIWORD这个以前就很常用到, 比如消息参数 lParam 中存放着鼠标位置. lParam 是 4 字节的, 它的低两位存放 x、高两位存放
LOWORD, HIWORD, LOBYTE, HIBYTE宏解析
sinat_31054897的博客
08-28 3157
在对一个进程的通信部分做分析时反复遇到了这四类函数,特做此记录。 LOWORD:取32位数的低16位 HIWORD:取32位数的高16位 LOBYTE:取16位数的低8位 HIBYTE:去16位数的高8位 ps:LOBYTEHIBYTE应用于32位数时,会取32位数后16位数的高低8位。 官方说明 LOWORD macro Retrieves the low-order wor...
IDA 逆向代码--- 指针类型的使用
生命不息 折腾不止
09-07 1712
场景:指针、地址、数组访问、一维二维数组转换在IDA F5 之后的伪代码里面时常被用到; 理解:指针指向的是地址,指针表示的是 从某个地址开始 按照 指定数据类型 读取数据; 如下函数定义: int v12; // r3@32 unsigned int v39[96]= { //int v39; // [sp+94h] [bp-1074h]@1 ...
769482 从零开始学IDA逆向1-31章
12-21
769482 从零开始学IDA逆向1-31章769482 从零开始学IDA逆向1-31章769482 从零开始学IDA逆向1-31章769482 从零开始学IDA逆向1-31章769482 从零开始学IDA逆向1-31章
ida逆向c语言失败,IDA逆向代码 --- F5 反汇编识别错误的情况
weixin_39693438的博客
05-19 1247
场景:F5 之后的伪代码,变量直接被使用,没有被赋值,但是根据上下文,一定具有含义;例如:v3 = &v104 + 0x14 * (signed __int16)v29 - 0x442;// 这里的104 是什么??前面只有定义,没有被赋值,而且不属于数组中的一部分查看对应Arm指令:.text:9FAADCD8 MOVS R6, #0x50 ;...
IDA-pro-plus-6.5-x86-arm1.7.rar
05-14
使用教程见 https://blog.csdn.net/daidi1989/article/details/86304843#comments_12203591
LOWORD, HIWORD, LOBYTE, HIBYTE的解释
qq_56313338的博客
11-15 1472
从这里来看,他们是以两个字节为操作对象,哪怕给出的数据是int类型的数据。按照我的猜测以WORD结尾的就是以4个字节为操作对象了。以小端序来看 0x12345678在内存中的存储为。LOBYTE 取出了内存中最低的一个字节0x78。LOWORD 是取出内存中低地址的前两个字节。HIWORD 是取出内存中高地址的后两个字节。可以看到以WORD结尾的是取出两个字节。HIBYTE 取出了第二个字节0x56。0x78在低地址,0x12在高地址。BYTE结尾取出一个字节。此时a在内存中的表示为。
IDA Pro *(_QWORD *)和*(_BYTE *)表达式解释
最新发布
Jingged的博客
03-30 1451
这种类型转换和解引用的组合在反汇编和逆向工程中非常常见,因为原始源代码中的数据类型和变量名在编译过程中通常会丢失,而分析人员需要依赖工具来理解和解释机器代码。作为一个整体,通常用于将一个地址(或其他整数)转换为一个指向64位无符号整数的指针,并获取该地址上的值。时,这通常意味着某个地址或值被转换为一个指向字节的指针,并且随后会解引用该指针以获取该地址上的字节值。允许你在不知道原始数据类型的情况下,以特定的方式(这里是64位无符号整数)解释和访问内存中的数据。类似,但这里涉及的是1字节(8位)的数据。
js语法1 基本数据和复杂数据
ane1279263的专栏
12-13 232
1、var定义一个变量,分配内存,但只够存基本数据类型、引用 数据类型 //整数、小数、逻辑变量---->简单数据对象=传递值 //字符串对象、数组对象、表、函数对象---->使用=传递是引用,变量指向该对象地址 undefine:变量没定义 null:一个变量不保存任何数据,初始化为null 2、[]数组 3、{}字典、表 var list_table = {0: true, hello: 3}; 访问: list_table.hello 或 list_ta...
不同版本的IDA中的HIBYTE宏定义可能不同
logiciel的专栏
02-25 696
不同版本的IDA中的HIBYTE宏定义可能不同,因此要查看defs.h中的HIBYTE的定义,以免误解。
LOWORD, HIWORD, LOBYTE, HIBYTE
uiop_uiop_uiop的博客
04-15 1877
实际上就是宏函数,作用是取对应数据高/低位的 #define LOWORD(l) ((WORD)(((DWORD_PTR)(l)) & 0xffff)) #define HIWORD(l) ((WORD)((((DWORD_PTR)(l)) >> 16) & 0xffff)) #define LOBYTE(w) ...
#define BYTE0(dwTemp) ( *( (char *)(&dwTemp) ) )是什么意思?
quinn1994的博客
05-27 2110
1.数据拆分宏定义 #define BYTE0(dwTemp) ( *( (char *)(&dwTemp) ) ) #define BYTE1(dwTemp) ( *( (char *)(&dwTemp) + 1) ) #define BYTE2(dwTemp) ( *( (char *)(&dwTemp) + 2) ) #d...
一文搞懂所有常见数据结构
sang521jia的博客
03-06 835
比如我给score插入了值是1,其实应该是00000001,左边补0直到长度达到8位。对于int型的字段来说,能存储的最大值和最小值永远都是固定的,int存储大小为4个字节32位,就相当于int32,取值范围就是 -2^31 ~ 2^31 – 1。int8是八位bit,占用一个字节byte,其中最高位符号位(最左边)1是符号,0是正号。计算机只能处理0和1,计算机能把0和1转换成电路中的信号来计算,这个就是计算机的本质。那么最大二进制的数值就是 0 1 1 1 1 1 1 1 ,换成10进制来就是。
byte类型 -0 和 -128的二进制原码都为 1000 0000?
null
10-14 3579
byte类型 -0 和 -128的二进制原码都为 1000 0000? 我们都知道,byte类型的取舍范围是-128~127.因为byte类型是1个字符 占8个比特位,最多能装256个数(每个位能表示2中可能,有8位,那么就有2的8次方种可能) 但是256是要考虑正负情况的,比如说单纯的+256,放在一个byte里面,是装不下的。 二进制规定,正数的原码就是其本身,而负数的原码是在最高位补1. ...
ida 逆向代码 --- 双精度浮点型jumpout
08-01
IDA逆向代码是指对二进制程序进行逆向分析和修改的过程。双精度浮点型jumpout是指在逆向代码过程中遇到的一个跳转指令,该指令可以根据双精度浮点数的值来进行跳转。 在IDA逆向代码中,双精度浮点型jumpout的实现方式通常是通过比较双精度浮点寄存器的值,并根据比较结果跳转到指定的地址。具体实现步骤如下: 1. 首先,使用IDA打开二进制程序,并进行逆向分析,找到双精度浮点型jumpout指令的位置。 2. 在跳转指令之前,通常会使用一条或多条指令将双精度浮点数的值加载到浮点寄存器中。 3. 找到进行比较的指令,该指令通常会使用浮点寄存器中的值与另一个双精度浮点数进行比较。比较操作可以是大于、小于、等于等。 4. 根据比较结果,使用条件跳转指令进行跳转。如果比较结果符合条件,则跳转到目标地址;否则,继续执行下一条指令。 5. 如果跳转成功,程序将会执行目标地址处的指令,否则继续执行下一条指令。 通过以上步骤,我们可以实现双精度浮点型jumpout的功能。在IDA逆向代码中,我们可以根据这个跳转指令的地址和执行条件,来分析和修改程序的行为。这在逆向工程中是非常有用的,可以帮助我们理解和改进二进制程序的逻辑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值