使用ida pro做反編譯時,要注意類型轉換
反編譯器常常在反編譯的時候做一些假設,想調用call常常返回,內存模式是flat,函數框架被正確設置等。當這些假設是正確的,輸出代碼是正確的。當假設是錯誤的話,那么得到的代碼就和真實的代碼不一定一致。來看個例子,
使用反編譯器得到如下偽碼。
顯然,變量v3(相當于edx)根本沒有被初始化,為什么?
發生這樣的時候,是因為被調用函數常常破壞寄存器的值。在x86約定中,只有esi,edi,ebx和ebp可以跨越call保存。換句話說,其他的寄存器可以通過一個函數調用改變它們的值。因此,反編譯器假定函數遵守調用約定,它在函數調用前和函數調用后,把edx識別成兩個變量。第一個變量被優化成a1,第二個變量v3成了未初始化的。
實際上 edx有以下三種可能。
-
未修改
-
用來返回一個值
-
被毀壞
通過被調用的函數,反編譯器選擇了第三種情況。來我們來看看如果是對的,會出現什么
正如我們看到,edx寄存器根本沒有被引用。于是我們發現是第一種情況。
As we see, the edx register is not referenced at all, so we have the case #1. If the decompiler could find it out itself, without our help, our life would be much easier (maybe it will do so in the future!) Meanwhile, we have to add the required information ourselves. We do it using the Edit, Functions, Set function type command in IDA. The callee does not spoil any registers:
反編譯器產生不同的偽碼
因此,我們知道edx并沒有通過call被修改。它不過是在調用前后建立了兩個實例。
通過調用函數利用edx返回值。我們如下操作設置類型
上面表達式的意識是,函數帶有一個參數,參數被調用者壓棧,并把結果返回給edx
在第三種情況下,反編譯器為edx建立兩個不同的變量,第一個被優化掉,第二個被用來放返回值。
正如我們看到的,類型信息在反編譯器中扮演了一個很重要的角色。為了得到一個正確的代碼,我們要特別注意類型。