WedX - журнал о программировании и компьютерных науках

Возможно ли в IDA Pro сделать смещение поля структуры относительно vtable, которое определено в сегменте .data?

Вот чего я хочу добиться. Я определил класс, который я определил как структуру для хранения данных класса. Один из методов класса использует class-field как указатель на vtable.

int __thiscall SignOn(struc_4 *this)
{
  v1 = this;
  if ( !v1->vtable_40194AE0 )
    return E_UNEXPECTED;
  v1->field_3E8 = 0;
  if ( !sub_686F7193(v1) )
    return (*(*v1->vtable_40194AE0 + 12))(v1->vtable_40194AE0, 0, 0); // sub_40128EEE
}

Как видите, он вызывает третью функцию из vtable. Во время выполнения я определил, что vtable_40194AE0 указывает на массив в разделе .data, который выглядит так:

off_40194AE0    dd offset InternalQueryInterface
                dd offset AddRef
                dd offset Release
                dd offset sub_40128EEE  ; 3
                dd offset sub_40128F8C
                dd offset sub_4012C2E2  ; 5

Есть ли способ как-то сказать IDA, что vtable_40194AE0 всегда указывает на vtable по адресу 0x40194AE0, поэтому данный вызов в псевдокоде будет выглядеть так:

return vtable_40194AE0->sub_40128EEE(v1->vtable_40194AE0, 0, 0);

?

Я попытался установить vtable_40194AE0 структуры как «определяемое пользователем смещение», но это не помогает :(

Большое спасибо !

com reverse-engineering disassembly vtable ida
09.05.2011

Ответы:


1

Насколько мне известно, нет. Структуры IDA просто созданы для облегчения процесса визуализации дизассемблированных данных. Максимум, что вы можете сделать, это прокомментировать место вызова, чтобы определить реальную вызываемую виртуальную функцию.

14.05.2011

2

Конечно, это возможно!

Откройте окно «Структуры», найдите структуру вашего класса (struc_4 в вашем случае) и откройте ее (если она была свернута). Выберите поле vtable (оно должно быть на первом месте), нажмите Y и введите объявление типа как указатель на структуру vtable в открывшемся окне (vtable_40194AE0* в вашем случае). Вот и все.

26.11.2011
  • Привет! vtable_40194AE0 в моем случае не является структурой. Это имя поля структуры struc_4. 09.08.2012

    • 3

    Вы можете создать структуру, представляющую vtable, объявить C-типы ее полей с помощью Y (чтобы они были типизированными указателями функций) и сделать смещение в call [ecx+12] смещением этой структуры с помощью T. Таким образом, IDA распознает аргументы вызова.

    В структуре, представляющей класс, установите тип поля vtable как указатель на структуру vtable, тогда, если вам повезет, декомпилятор соберет все воедино и поместит в вызов имя поля структуры vtable вместо смещения.

    11.11.2013
    Новые материалы
    Как проанализировать работу вашего классификатора?
    Не всегда просто знать, какие показатели использовать С развитием глубокого обучения все больше и больше людей учатся обучать свой первый классификатор. Но как только вы закончите..
    Работа с цепями Маркова, часть 4 (Машинное обучение)
    Нелинейные цепи Маркова с агрегатором и их приложения (arXiv) Автор : Бар Лайт Аннотация: Изучаются свойства подкласса случайных процессов, называемых дискретными нелинейными цепями Маркова..
    Crazy Laravel Livewire упростил мне создание электронной коммерции (панель администратора и API) [Часть 3]
    Как вы сегодня, ребята? В этой части мы создадим CRUD для данных о продукте. Думаю, в этой части я не буду слишком много делиться теорией, но чаще буду делиться своим кодом. Потому что..
    Использование машинного обучения и Python для классификации 1000 сезонов новичков MLB Hitter
    Чему может научиться машина, глядя на сезоны новичков 1000 игроков MLB? Это то, что исследует это приложение. В этом процессе мы будем использовать неконтролируемое обучение, чтобы..
    Учебные заметки: создание моего первого пакета Node.js
    Это мои обучающие заметки, когда я научился создавать свой самый первый пакет Node.js, распространяемый через npm. Оглавление Глоссарий I. Новый пакет 1.1 советы по инициализации..
    Забудьте о Matplotlib: улучшите визуализацию данных с помощью умопомрачительных функций Seaborn!
    Примечание. Эта запись в блоге предполагает базовое знакомство с Python и концепциями анализа данных. Привет, энтузиасты данных! Добро пожаловать в мой блог, где я расскажу о невероятных..
    ИИ в аэрокосмической отрасли
    Каждый полет – это шаг вперед к великой мечте. Чтобы это происходило в их собственном темпе, необходима команда астронавтов для погони за космосом и команда технического обслуживания..
    Для любых предложений по сайту: [email protected]