(转载)数据逆向分析(3)

Posted on | In

结构体

struct是由一系列具有相同类型或不同类型的数据构成的数据集合,也叫结构。它的实现方法上和数组是一样的,即每一个成员的访问是直接寻址方式。唯一的区别是,为了提高访问效率,成员无论类型为何,编译器将它们按照4字节对齐。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
eg:struct test

       {

            char str;

            int i;

        };

       test a={'A',0};

debug:

0041139E  mov         byte ptr [ebp-0Ch],41h //4字节对齐
004113A2  mov         dword ptr [ebp-8],0

同样的尴尬

和数组一样,直接从二进制代码上判断结构体边界,并且它比数组的判断更难。尤其是自定义结构体。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
1. struct TimeCount

   {

     time_t Begin;

     time_t End;

   };

   TimeCount clock;//很好的书写习惯

 

2. tme_t Begin,End;//稍微懒一点

3. time_t a[2];//太恶劣了

这三个声明是等价的,struct的界定应该说很多时候是非常随意的,但是以下情况是必须准确判断:

1. 变量是结构体数组时,如果不想还原的代码,写满屏幕的话,嘿嘿...



2. 以指针形式在函数间传递时,好在这种情况很少是自定义结构体,这使得我们通常可以借助OD、IDA帮你判断。出现自定义结构体时,绝大多数情况又是队列、二叉树等等,只要经验足够的话是不难的。

3.4字节对齐产生数据空隙时,这么容易判断的时候,有便宜不占是白痴。

附上大佬的Blog链接

https://blog.csdn.net/yangbostar/article/list/2?