我正在逆转一个程序,慢慢地我开始建立一个无疑代表一个类的自定义结构(例如,第一个DWORD指向一个vtable等)。
这是一个带有一些COM实现的Windows二进制文件。有些方法使用stdcall调用约定(这个调用在栈上),有些方法使用this调用约定(这个指针在ECX上)。
我想告诉IDA,这个指针(在ECX或堆栈上)指向我分析的自定义结构,所以在代码视图中我会看到对该类字段的引用。可能的?
答案 0 :(得分:1)
分析基于虚函数表的程序的有效方法是使用ida hexray插件更改类型。步骤可以是:
但是,hexray插件是非常广泛的。