数据逆向(四)——结构体识别
2010-08-12 20:13
281 查看
结构体
struct是由一系列具有相同类型或不同类型的数据构成的数据集合,也叫结构。它的实现方法上和数组是一样的,即每一个成员的访问是直接寻址方式。唯一的区别是,为了提高访问效率,成员无论类型为何,编译器将它们按照4字节对齐。
eg:struct test
{
char str;
int i;
};
test a={'A',0};
debug:
0041139E mov byte ptr [ebp-0Ch],41h //4字节对齐
004113A2 mov dword ptr [ebp-8],0
同样的尴尬
和数组一样,直接从二进制代码上判断结构体边界,并且它比数组的判断更难。尤其是自定义结构体。
1. struct TimeCount
{
time_t Begin;
time_t End;
};
TimeCount clock;//很好的书写习惯
2. tme_t Begin,End;//稍微懒一点
3.time_t a[2];//太恶劣了
这三个声明是等价的,struct的界定应该说很多时候是非常随意的,但是以下情况是必须准确判断:
1. 变量是结构体数组时,如果不想还原的代码,写满屏幕的话,嘿嘿...
2. 以指针形式在函数间传递时,好在这种情况很少是自定义结构体,这使得我们通常可以借助OD、IDA帮你判断。出现自定义结构体时,绝大多数情况又是队列、二叉树等等,只要经验足够的话是不难的。
3.4字节对齐产生数据空隙时,这么容易判断的时候,有便宜不占是白痴。
struct是由一系列具有相同类型或不同类型的数据构成的数据集合,也叫结构。它的实现方法上和数组是一样的,即每一个成员的访问是直接寻址方式。唯一的区别是,为了提高访问效率,成员无论类型为何,编译器将它们按照4字节对齐。
eg:struct test
{
char str;
int i;
};
test a={'A',0};
debug:
0041139E mov byte ptr [ebp-0Ch],41h //4字节对齐
004113A2 mov dword ptr [ebp-8],0
同样的尴尬
和数组一样,直接从二进制代码上判断结构体边界,并且它比数组的判断更难。尤其是自定义结构体。
1. struct TimeCount
{
time_t Begin;
time_t End;
};
TimeCount clock;//很好的书写习惯
2. tme_t Begin,End;//稍微懒一点
3.time_t a[2];//太恶劣了
这三个声明是等价的,struct的界定应该说很多时候是非常随意的,但是以下情况是必须准确判断:
1. 变量是结构体数组时,如果不想还原的代码,写满屏幕的话,嘿嘿...
2. 以指针形式在函数间传递时,好在这种情况很少是自定义结构体,这使得我们通常可以借助OD、IDA帮你判断。出现自定义结构体时,绝大多数情况又是队列、二叉树等等,只要经验足够的话是不难的。
3.4字节对齐产生数据空隙时,这么容易判断的时候,有便宜不占是白痴。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 数据逆向(三)——识别字符串与数组
- Intellij IDEA 通过数据库表逆向生成带注释的实体类文件超级详细步骤,附详细解决方案
- 利用反射把DataTable自动赋值到Model实体(自动识别数据类型)
- 基于SVM的数据分类预测——意大利葡萄酒种类识别
- 人脸检测及识别python实现系列(3)——为模型训练准备人脸数据
- FFMPEG结构体分析:AVPacket(解码前的数据)
- 问题解决——在结构体中使用set保存结构体数据
- 京东猪脸识别比赛数据预处理:用Python将视频每一帧提取存储为图片
- 【工程处理技巧一篇】基于半规则数据的命名实体消歧识别【未完】
- P2P协议数据识别(转载)
- C++第2周项目2——读取数据到结构体数组
- go里基本数据、结构体、map、数组中值传递与地址传递分析
- 一个操作共享内存的类!可以方面的添加,删除数据,包括各种结构体!
- 参考C语言的qsort函数实现一个一个能对任意数据类型(包括结构体)的数组进行排序的函数(里面用的不是快速排序)
- 代码逆向(四)——switch-case识别技巧初探
- 项读取数据到结构体数组
- 大数据早报:坚果Pro2支持人脸识别,旷视科技提供技术支持;腾讯的AI战略是AI in All ,明年100亿投入企鹅号(11.9)
- 如何用c语言读出 txt 文档中的数据到结构体中
- Python数据分析——基于CART决策树的用户识别
- C++中的自定义数据类型(结构体)解析