1 尝试在反汇编代码中找到一个函数的二进制代码
有的时候需要一个函数的二进制代码,注入到另外的一些地方;以此程序为示例,
Ollydbg打开可执行文件,我想先找到此函数的二进制代码体,
createOctree(OctreeNode<T> * &root,int maxdepth,double xmin,double xmax,double ymin,double ymax,double zmin,double zmax)
一直在里面晃来晃去的找, 在第四列会给出一些函数的名字,但是确实没有 createOctree 这个文本;
执行如下的菜单,
弹出如下的窗口,
这是程序中包含的所有文本,没有 createOctree ;
那么系统的函数名,像调用的Win32 API会被识别标记,自己的函数名,应该是编译之后变成了某种标记,不再是文本的函数名;
然后又找;发现,在第4列,有Arg1、Arg2这些东西,这应是函数的参数,被识别出来;
createOctree函数,有8个参数,代码只有此函数有8个参数,找到一个有Arg1-Arg8的Call,这个被Call的地址,应该就是createOctree函数的起始地址;
上图就是一个有8个参数的Call,0040E764,这地址应该就是 createOctree函数的起始,转到此地址,
上图应该就是 createOctree函数的起始;
那么如何找到函数的结尾呢;应该是找到call对应的ret,就结束了;问题是此call里面又包含多个call,不知怎么找到对应函数起始的call的ret;下回再说;
然后看一下代码里有 system("cls"); 这是从代码调用一个DOS命令;
在反汇编代码中识别出字符串 "cls",看到有2个地方都调用了0040C3CE,
转到0040C3CE,这里应该就是system("cls")这个调用的执行部分的开始,
然后往下看一下,看到一个ret,在ret之前有command.com、cmd.exe这些字样,这就对了,cls是一个DOS命令,DOS命令是属于command.com或者cmd.exe;到这个ret,system("cls")这个语句的执行部分也许就结束了;
有时间继续;