請注意，原始彙編指令可能是 mov [rsp + 4]，0 （*）。這就是為什麼 idc.GetOperandValue 返回4的原因。

尤其是對於較舊的編譯器，這些編譯器經常使用 push 和 pop ，在執行函數期間， rsp 的值變化很大。現在， esp + 8 現在是 esp + 12 ；彈出後，現在 rsp + 8 現在將是 rsp 。因此，在讀取一段（普通的）彙編代碼時，很難跟踪何時訪問哪個堆棧位置。

（最近有所改善； x64 abis使用寄存器來傳遞參數，因此代碼不會不再需要 push 和 pop ，並且像 gcc 這樣的編譯器會在堆棧上留出足夠的空間，並將參數直接放在相對於的地址中> esp 甚至在32位上也是如此，因此 esp / rsp 不再有太大變化了，但是仍然有很多舊的代碼需要反轉。

為改善這種情況，IDA將變量名稱分配給堆棧位置，例如您的 var_3F8 。每當指令執行某些 sp 相對尋址時，IDA就會使用變量名稱，並發出一個額外的偏移量以說明自函數啟動以來對堆棧指針的更改。因此，如果您的原始代碼是

  mov [rsp + 8]，raxsub rsp，128mov [rsp + 136]，rbxpush rcxmov [rsp + 144]，rdx  

在每種情況下都訪問相同的內存地址。 Ida將其轉換為

  mov [rsp + 0 + var_8]，raxsub rsp，128mov [rsp + 128 + var_8]，rbxpush rcxmov [rsp + 136 + var_8]，rdx  

但是，這些更改僅顯示，它們不會更改您的二進製文件！獲取操作數仍將返回 8 ， 136 和 144 ，而不是ida向您顯示的值。

如果要自動分析此問題，可以任一自己跟踪堆棧指針的偏移量，並相應地調整或的結果/ em>您將必須在 GetOpnd 的輸出上使用python字符串函數，丟棄中間部分，然後比較右側部分（變量名稱）。

（*）現在我想起來似乎有點奇怪，因為您顯然使用的是64位，因為您的堆棧指針是 rsp ，暗示8字節對齊。

假定 addr 是 mov [rsp + 3F8h + var_3F8]，0 的EA：

  re.findall（'\ [（。*）\]'，idc.GetDisasm（addr））[0] .split（'+'） 

產生列表

  ['rsp'，'3F8h'，'var_3F8']