在代碼中可以找到表示結構用法的非常常見的模式。
取消引用偏移量:
如果您的指針在某個非零偏移量處被取消引用,您可能正在處理結構。尋找類似這樣的模式:
mov eax,[ebp-8];將局部變量加載到eaxmov ecx [eax + 8]中; **在eax + 8處取消對雙字的引用**
在此示例中,我們有一個包含指針的變量,但是我們關心內存內容在某個特定偏移量指針之前。這正是使用結構的方式:我們得到一個指向該結構的指針,然後取消對該指針的引用以及一些偏移量以訪問特定成員。在C語言中,其語法為: pMyStruct->member_at_offset_8 。
旁注:不要混淆在某些變量的偏移量處的引用與在位置處的引用堆棧指針或幀指針的偏移量( esp 或 ebp )。當然,您可以將局部變量和函數參數視為一個大結構,但是在C語言中,它們並未明確定義為此類。
更多細微的指針偏移量:
實際上,您不需要取消引用即可檢測結構成員。例如:
mov eax,[ebp-8];將局部變量加載到eaxpush 30h中; num = 30hpush aSampleString; src =“樣本字符串”添加eax,0Chpush eax; dst = eax + 0xCcall strncpy
在此示例中,我們將最多0x30個字符從某個源字符串複製到 eax + 0xC (請參閱 strncpy)。這告訴我們 eax 可能指向一個偏移量為0xC的字符串緩衝區(至少0x30字節)的結構。例如,該結構可能類似於:
struct _MYSTRUCT {DWORD a; // + 0x0 DWORD b; // + 0x4 DWORD c; // + 0x8 CHAR d [0x30]; // + 0xC ...}
在這種情況下,示例代碼如下:
strncpy(&pMyStruct->d,“示例字符串”,sizeof(pMyStruct->d));
>
旁注::可能(儘管不太可能)我們可以將文件複製到偏移量為+ 0xC的大字符串緩衝區中,但是您可以通過上下文確定這一點。例如,如果offset + 0x8是一個整數,那麼它絕對是一個結構。但是,如果我們將固定長度為0xC的字符串複製到地址 eax ,然後將另一個字符串複製到地址 eax + 0xC ,則可能是一個巨大的字符串。
所有讀取/全部寫入:
比方說,您有一個結構體( not 指向該結構體的指針)作為堆棧的局部變量。大多數時候,IDA不知道堆棧上的結構或一堆單獨的局部變量之間的區別。但是,要處理結構的一個巨大提示是,如果您僅從變量中讀取而不寫入數據,或者(如果不是這樣,則)僅在不讀取變量的情況下寫入變量。這是每個示例:
lea eax,[ebp + var_58];將局部變量的地址加載到eaxpush eaxcall some_functionmov eax,[ebp + var_54]中;假設我們從未接觸過var_54,而是... test eax,eax; ...但是我們正在檢查它的值!jz在某處...
在此示例中,我們從 var_54 中讀取數據,而沒有向其寫入任何內容(在此函數內)。 可能表示它是從其他函數調用訪問的結構的成員。在此示例中,暗示 var_58 可能是該結構的開始,因為其地址被推入 some_function 的參數中。您可以通過遵循 some_function 的邏輯並檢查其參數是否已在偏移量+ 0x4處取消引用(並修改)來驗證這一點。當然,這不一定必須在 some_function 中發生-它可以在其子功能之一或其子功能之一中發生,等等。
存在用於編寫的類似示例:
xor eax,eaxmov [ebp + var_28],eax;假設這是var_28被觸摸的唯一時間,[ebp + var_30]按下eaxcall some_other_function ...
當您看到設置了局部變量然後再也沒有引用它時,您不能僅僅忘記它們,因為它們很可能是傳遞給另一個函數的結構的成員。此示例暗示在將結構的地址傳遞給 some_other_function 之前,將結構(從 var_30 開始)寫入偏移量+ 0x8。
這兩個用C編寫的示例都可能像這樣:
some_function(&myStruct); if(myStruct.member_at_offset_4)...
and
myStruct.member_at_offset_8 = 0; some_other_function(&myStruct);
側面說明:儘管這些示例中的每個示例都使用局部變量,但相同邏輯適用於全局變量。
需要結構的文檔化函數:
這可能很明顯,IDA幾乎總是在為您處理此問題,但是,知道代碼中何時具有結構的一種簡單方法是,如果調用需要某種結構的文檔化函數。例如, CreateProcessW 需要一個指向 STARTUPINFOW 結構的指針。
我怎麼知道這些模式是否實際上表示結構用途?
我要說的最後一點是在所有這些情況下,從技術上講,是的,程序的作者可以編寫其代碼而無需使用結構。他們還可以通過將每個函數定義為帶有大內聯 __ asm 的 __ declspec(naked)來編寫其代碼。您將永遠無法分辨。但是可以說,這並不重要。如果有邏輯值組連續存儲在內存中並從一個函數傳遞到另一個函數,則將它們註釋為結構仍然有意義。幾乎所有時候,這都是作者編寫代碼的方式。
如果您需要我詳細介紹任何內容,請告訴我。