菜鸡刚学汇编,总结下。
函数参数传递:
分值传递和地址传递。
值传递只是将数复制一份当做参数,压入堆栈,例如
function(int a,int b)
{
...
}
调用函数前的汇编代码是
mov eax,dword ptr ds:[...]
push eax
mov ecx,dword ptr ds:[...]
push ecx
地址传递:是将地址压入堆栈,效率更高。
函数参数个数的判断:
一般情况下:
首先观察函数调用前的代码:
例如
push 1
push 2
call 函数
再看堆栈平衡处:
如果 是add esp,0x8 或者是 ret 0x8
由于0x8/4=2 则传入的参数的个数就是2个。
以上是一般情况下。
但是由于函数调用约定的不同
例如__ fastcall约定,最左边的两个参数用 ecx,edx来传递,其余的参数通过堆栈push传递(由右往左)。那么上述的一般判断就不可靠了。
再例如某些情况看不到 调用函数前的信息,不能看到push传参,和用寄存器来传参,只有一个光秃秃的call 调用时,这时就需要更深入的判断了。
- 则首先跳到函数中,看函数的内容,首先需要脱去__fastcall约定的思维定式,不要觉得只有ecx,edx可以传参。
eax,ecx,edx,edi,esi,ebx 等寄存器都可能用来传递参数(不考虑ebp和esp)。 - 由于参数是从外界传递到函数内部使用的,除了特殊情况,则很少有给参数赋值的情况,所以可以基本排除被赋值的寄存器。然后观察给别的东西赋值的寄存器,如果有寄存器给别的东西赋值,那么这个寄存器就是参数。
- 判断完寄存器再看是否有 [EBP-xxx](release版是 [esp+xxx])给别的东西赋值,如果有,那么这个也是参数。最后再结合 堆栈平衡 来综合判断参数的个数。
则总结下即是
找到给别人赋值的寄存器,且这个寄存器的值不是在函数中赋的值,那么这个寄存器就是传进来的参数,然后再看 [ebp-xxx]和 ret xxx 综合判断函数的参数个数。
133
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
