0
我想反向工程拆解的二进制文件。我不明白它使一个呼叫时它在做什么,例如:当您在程序集中推送内存地址时会发生什么?
推$ 0x804a254
是什么使得它更加混乱的是,该地址是不是和指令的地址也不是在符号表。它在做什么?
A
回答
2
这是以下三种情况之一:它是一个常量(无论是散列,数字,位标记还是类型地址),变量或缓冲区的地址(包括字符串文字)或者是一个错误分析的操作数(由于加密/废弃)。它的真正意义与它的使用有关(不管是调用参数还是设置mem/reg的间接方法)。
1
您看到的值不在任何表格或指令中,因为它是局部变量。 (局部变量不保持与符号表关联的名字,因为他们只是“活着”,而你是在一个特定的方法)地址相当于像
void somefunc()
{
int t; //t may have address 0x804a254 since this is a local variable.
}
为了正确地释放内存的局部变量在系统堆栈上分配而不是在内存中的其他位置。它们在函数创建时被推入,当函数返回时弹出,这就是你所看到的。
+0
而不是在x86上使用esp(或ebp)寄存器引用本地函数变量吗?我认为0x804a254可能是一个全局变量地址或稍后弹出的常量...... – 2011-04-19 16:57:56
+0
局部变量是相对于堆栈指针(例如ebp或esp)而不是绝对地址寻址的。所以我怀疑这是发生了什么。 – 2011-04-19 17:00:11
+0
那么它是一个全局变量,因为它们不只是推动0x4或%eax或其他东西?如果是这样,如果它不再被引用,那么将其设为全局是没有意义的。 另外,什么 jmp * 0x804b0fc 意思是什么时候该地址也没有在反汇编或符号表中的其他地方引用? – Gabe 2011-04-19 17:00:27
1
该指令只是将32位常量(0x804a254)推入堆栈。
仅靠这个指令是不足以让我们知道它是如何被使用的。你能否提供更多的代码解构?特别是我想知道这个值在哪里出现,以及这个值如何被使用。
在开始任何逆向工程之前,我会推荐阅读本书(Reverse Engineering secrets),然后再阅读X86指令集手册(Intel或AMD)。我假设你是x86 CPU的反向工程。
相关问题
- 1. 当用户不响应推送通知时会发生什么?
- 2. 当我加载程序集时会发生什么?
- 3. ,当您分配多个虚拟内核时会发生什么?
- 4. 如果您打断Git推送会发生什么?
- 5. 当您的应用程序开始内存不足时,您会做什么?
- 6. 当您不在Flash中嵌入字体时会发生什么?
- 7. 当SIGCANCEL发送到线程时会发生什么?
- 8. 程序集中的内存地址
- 9. 什么是H.450.2?当它不存在时会发生什么?
- 10. 当mongodb内存不足时会发生什么?
- 11. 在PHP中,当我们使用mysql_query时,会在内存中发生什么
- 12. 当您返回View时应该是PartialView会发生什么?
- 13. 当您加入“或”或SQL时会发生什么?
- 14. .NET 4.0引用.NET 2.0程序集时会发生什么?
- 15. 用户单击.NET程序集(EXE)时会发生什么?
- 16. 取消时线程的内存会发生什么变化?
- 17. 引用.net 2程序集时.Net 4应用程序中会发生什么?
- 18. 当你运行一个程序时会发生什么?
- 19. 当应用程序从后台打开时会发生什么?
- 20. 当Android应用程序“被杀”时会发生什么
- 21. 当Android应用程序强行关闭时会发生什么
- 22. 当应用程序崩溃时会发生什么?
- 23. 内存泄漏会发生什么?
- 24. 程序访问内核空间时会发生什么
- 25. 当内核代码中断时会发生什么?
- 26. 当分支被推送到远程时,为什么Travis CI会生成?
- 27. 当我的应用程序收到多个推送通知时会发生什么?
- 28. 当您在swift中运行弃用代码时会发生什么?
- 29. 当您在Javascript中使用someModule导入someModuleName时会发生什么情况
- 30. 当您在Azure AD中选择一个国家时会发生什么?B2C
它将某种32位数字推入堆栈。没有某种背景,完全不可能再说什么。 – 2011-04-19 16:49:30
是的,发布一个反汇编,而不是一条指令。 – 2011-04-19 17:00:41