0

IDA Pro を使用して dll をリバースしました。IDA によって生成された疑似コードを見ると、QT ライブラリへの一連の呼び出しに興味があります。関数を呼び出せるように、関数の場所を見つけようとしていますか? 何が起こっているのかを繰り返してみたいのですが、IDA によって生成されたコードに少し混乱しています。本当に必要なものについて、誰かが私にいくつかの指針を与えることができますか? 関数呼び出しを定義するときの「this」の使用に特に興味があります。これが何を意味するのかよくわからないからです。ありがとう。

 int v2; // eax@10
 int v3; // eax@10
 char v12; // [sp+14h] [bp-368h]@10
 int v13; // [sp+20h] [bp-35Ch]@10


...
v2 = sub_100010B3((int)&v12, "QtGui4.dll");
    v19 = sub_10001115((int)&v12, v2, "?rowsInserted@QListView@@MAEXABVQModelIndex@@HH@Z");
    Buf2 = -1;
    v21 = 21;
    v24 = (unsigned int)v19 >> 24;
    v23 = (unsigned int)v19 >> 16;
    v22 = v19;
    v3 = sub_100010B3((int)&v12, "QtCore4.dll");
    v13 = sub_10001115((int)&v12, v3, "?endInsertRows@QAbstractItemModel@@IAEXXZ");


int __thiscall sub_10001115(int this, int a1, const char *Str1)
{
  int v3; // eax@5
  int v5; // [sp+0h] [bp-10h]@1
  char v6; // [sp+4h] [bp-Ch]@4
  int *v7; // [sp+8h] [bp-8h]@1
  int v8; // [sp+Ch] [bp-4h]@1

  v5 = this;
  v7 = (int *)sub_10001470(this, *(_DWORD *)a1);
  v8 = 0;
  while ( *v7 )
{
    if ( *v7 & 0x80000000 )
    {
      v6 = (*v7 & 0xFFFF) == (_DWORD)Str1;
    }
    else
    {
      v3 = sub_10001470(v5, *v7);
      v6 = stricmp(Str1, (const char *)(v3 + 2)) == 0;
    }
    if ( v6 )
      return sub_10001470(v5, *(_DWORD *)(a1 + 16)) + 4 * v8;
    ++v7;
    ++v8;
  }
  return 0;
}


int __thiscall sub_100010B3(int this, const char *Str1)
{
  int result; // eax@2
  int v3; // eax@4
  int v4; // [sp+0h] [bp-8h]@1
  int v5; // [sp+4h] [bp-4h]@1

  v4 = this;
  v5 = sub_10001090(this, 1);
  if ( v5 )
  {
    while ( *(_DWORD *)(v5 + 16) )
    {
      v3 = sub_10001470(v4, *(_DWORD *)(v5 + 12));
      if ( !stricmp(Str1, (const char *)v3) )
        return v5;
      v5 += 20;
    }
    result = 0;
  }
  else
  {
    result = 0;
  }
  return result;
}


    int __thiscall sub_10001090(int this, int a2)
{
  return sub_10001470(this, *(_DWORD *)(*(_DWORD *)(this + 4) + 8 * a2 + 120));
}


int __thiscall sub_10001470(int this, int a2)
{
  int result; // eax@3

  if ( *(_DWORD *)(this + 8) && a2 )
    result = a2 + *(_DWORD *)(this + 8);
  else
    result = 0;
  return result;
}
4

2 に答える 2

0

v12 は、DLL 検索を行うクラスのインスタンスのようです。sub_100010B3 は LoadLibrary に、sub_10001115 は GetProcAddress に大まかに対応しているようです。「this」は、C++ メソッドを呼び出すときに渡される暗黙の「this」オブジェクト インスタンス ポインターを指します。

私の記事を見て、 C++ が低レベルでどのように機能するかについて話してください。

于 2012-05-02T09:47:18.907 に答える
0

最初に、その DLL によって提供される関数のリストを持っているように見える構造を返すテーブル内の DLL エントリを検索するようです。次に、使用可能な関数のリストで Dll エントリ構造を調べ、序数 (Str1 を DWORD として扱う) または名前 (Str1 で stricmp を実行) のいずれかでチェックし、おそらく、見つかった関数ポインターを返します。

于 2010-12-24T21:58:01.160 に答える