我在ollydbg中找到了这几行程序集:
MOV ECX,DWORD PTR DS:[xxxxxxxx] ; xxxxxxxx is an address
MOV EDX,DWORD PTR DS:[ECX]
MOV EAX,DWORD PTR DS:[EDX+116]
CALL EAX
有人可以介入并告诉我这里发生了什么吗?
答案 0 :(得分:6)
这是对结构中存储的函数指针的调用。
第一行获得存储在地址DS:xxxxxxxx的指针。方括号表示地址的解除引用,非常类似于C中的*。内存中的值即将用作指针;它被放入ecx注册。
MOV ECX,DWORD PTR DS:[xxxxxxxx] ; xxxxxxxx is an address
第二行取消引用上面获得的指针。来自ecx的该值现在用作地址,该地址被解除引用。在内存中找到的值是另一个指针。第二个指针放在edx寄存器中。
MOV EDX,DWORD PTR DS:[ECX]
第三行再次引用记忆;这次,访问发生在上面获得的指针的地址 offset 0x116字节。这不能被4整除,所以这个函数指针似乎不是来自C ++ vtable。从存储器中获得的值此时存储在寄存器eax中。
MOV EAX,DWORD PTR DS:[EDX+116]
最后,执行eax指向的函数。这只是通过函数指针调用函数。该函数似乎采用零参数,但我对修改我的答案有疑问:是否有PUSH指令在此片段之前?那些将是函数参数。问号表明这个函数可能会返回一个值,我们无法从我们的优势中得知。
CALL EAX
总的来说,代码片段看起来像是从插件库到OllyDbg的扩展函数的调用。 OllyDbg ABI指定包含一些函数指针的各种struct。还有一些函数指针数组,但是获得edx - 保持指针(也就是未对齐甚至多重偏移量)的双重间接使我认为这是一个struct而不是函数指针数组或C ++类的vtable。
换句话说,xxxxxxxx是指向包含函数指针的struct指针的指针。
在OllyDbg源文件中,PlugIn.h是一些候选struct定义。这是一个例子:
typedef struct t_sorted { // Descriptor of sorted table
char name[MAX_PATH]; // Name of table, as appears in error
int n; // Actual number of entries
int nmax; // Maximal number of entries
int selected; // Index of selected entry or -1
ulong seladdr; // Base address of selected entry
int itemsize; // Size of single entry
ulong version; // Unique version of table
void *data; // Entries, sorted by address
SORTFUNC *sortfunc; // Function which sorts data or NULL
DESTFUNC *destfunc; // Destructor function or NULL
int sort; // Sorting criterium (column)
int sorted; // Whether indexes are sorted
int *index; // Indexes, sorted by criterium
int suppresserr; // Suppress multiple overflow errors
} t_sorted;
允许这些示例为NULL,并且您的asm代码段不会检查函数指针中的NULL指针。因此,它必须是来自DRAWFUNC的{{1}}或t_table的{{1}}。
您可以创建一个包含头文件的小项目,并使用SPECFUNC和t_dump来确定其中任何一个是否位于0x116的偏移量。
否则,我想OllyDbg的内部是用同样的风格写的。因此,OllyDbg中可能存在用于各种目的的私有printf()定义(未在Plugin.h文件中发布)。
我想补充一下,我认为OllyDbg来源不可用是一种遗憾。我的印象是,它所包含的静态链接的反汇编程序是在某种GPL许可下,但我没有运气到OllyDbg的消息来源。
答案 1 :(得分:2)
从地址xxxxxxx获取32位数字并将其放入ECX寄存器,然后将此值用作地址并读取该值并将其放入EDX寄存器,最后将116添加到此数字并读取该地址的值进入EAX。然后它开始在EAX中保存的地址处执行代码。当该代码遇到返回操作码时,执行将在调用指令后继续。
这是非常基本的装配。它让我想知道你在使用调试器和你的作业到期时是否已经完成了这个问题; - )
答案 2 :(得分:0)
自从我做ASM(1997)以来已经有一段时间了,即便如此我只做了i386 ASM,请原谅我,如果我的答案不是那么有用......
不幸的是,这4行代码并没有告诉我太多。它主要是将内容加载到CPU寄存器并调用函数。
具体来说,看起来数据或者指针正从该地址加载到您的CX寄存器中。然后将该值从CX复制到DX。所以你有位于DX的CX指针的值。那么DX中的值加上116的偏移量被复制到AX寄存器(你的累加器?)
然后正在执行位于复制到AX的该地址的任何功能。
答案 3 :(得分:0)
我99%肯定这是一个虚方法调用,考虑到有关编译器是MSVC的评论。
MOV ECX,DWORD PTR DS:[xxxxxxxx]
指向类实例的指针从全局变量加载到ECX中。 (注意:默认__thiscall调用约定使用ECX传递实例指针,也就是 this 指针)。
MOV EDX,DWORD PTR DS:[ECX]
vftable(虚函数表)指针通常是类布局中的第一项。这里指针被加载到EDX中。
MOV EAX,DWORD PTR DS:[EDX+116]
表中偏移116(0x74)处的方法指针被加载到EAX中。由于每个指针都是4个字节,因此这是该类的第30个虚方法(116/4 + 1)。
CALL EAX
调用该方法。
在原始C ++中,它看起来像这样:
g_pObject1->method30();
要了解有关MSVC实现C ++类的更多信息,包括虚拟方法,请参阅我的文章here。