数据逆向（四）——结构体识别

结构体

       struct是由一系列具有相同类型或不同类型的数据构成的数据集合，也叫结构。它的实现方法上和数组是一样的，即每一个成员的访问是直接寻址方式。唯一的区别是，为了提高访问效率，成员无论类型为何，编译器将它们按照4字节对齐。

 

eg：struct test

       {

            char str;

            int i;

        };

       test a={'A',0};

 

debug:

0041139E  mov         byte ptr [ebp-0Ch],41h //4字节对齐
004113A2  mov         dword ptr [ebp-8],0

 

同样的尴尬

      和数组一样，直接从二进制代码上判断结构体边界，并且它比数组的判断更难。尤其是自定义结构体。

1. struct TimeCount

   {

     time_t Begin;

     time_t End;

   };

   TimeCount clock;//很好的书写习惯

 

2. tme_t Begin,End;//稍微懒一点

3.time_t a[2];//太恶劣了

    

     这三个声明是等价的，struct的界定应该说很多时候是非常随意的，但是以下情况是必须准确判断：

    1. 变量是结构体数组时，如果不想还原的代码，写满屏幕的话，嘿嘿...

 

    2. 以指针形式在函数间传递时，好在这种情况很少是自定义结构体，这使得我们通常可以借助OD、IDA帮你判断。出现自定义结构体时，绝大多数情况又是队列、二叉树等等，只要经验足够的话是不难的。

    3.4字节对齐产生数据空隙时，这么容易判断的时候，有便宜不占是白痴。