我希望对程序的二进制可执行文件进行分析,以创建特定函数调用的参数列表。我可以使用OllyDbg来查找对该函数的所有调用的列表,但如果不实际执行代码,就看不到任何显示参数的内容。
看起来该函数有两个参数,每个参数在每个实例的CALL之前都提供了一个简单的PUSH。我可以使用DiStorm仔细研究这个实例的代码,但我更喜欢一个可以在其他地方使用的更通用的解决方案。OllyDbg在进入函数时似乎确实知道参数的数量,所以我认为可以通过静态分析来确定参数数量,但老实说,我对x86汇编的理解非常有限。
有没有现有的方法可以做到这一点,或者我唯一的选择是使用DiStorm,在每次调用该函数之前只获取最后2个PUSH语句?
我能想到的唯一方法是遍历函数并检查对EBP的所有引用。
在函数序言中,您通常会看到:
push ebp
mov ebp, esp
sub esp,n
这就是设置新函数堆栈框架的地方。看起来有点像这个
EBP+n -> arg n
...
EBP+8 -> arg 0
return address
EBP -> stack address
EBP-4 -> local var 0
...
EBP-n -> local var n
ESP ->
您可以通过检查给定函数中对EBP + (n>=8)的所有引用来获得参数的数量。
现在,您可以检查函数调用之前的推送指令的数量,但不能保证函数不会引用堆栈的其他部分。
IDA在计算函数参数方面做得很好。我建议你试一试!你会看到这样的东西:
.text:00022042 ; int __stdcall sub_22042(USHORT, char, char)
.text:00022042 sub_22042 proc near ; CODE XREF: sub_21DC4+73p
.text:00022042 ; sub_22524+37p
.text:00022042
.text:00022042 arg_0= word ptr 8
.text:00022042 arg_4= byte ptr 0Ch
.text:00022042 arg_8= byte ptr 10h
.text:00022042
.text:00022042 8B FF mov edi, edi
.text:00022044 55 push ebp
...