【逆向工具】IDA使用3-全局变量、数组、结构体

全局变量

测试代码

全局变量既可以是某对象函数创建，也可以是在本程序任何地方创建。全局变量是可以被本程序所有对象或函数引用。下面这段代码中将int、float、char变量定义在main函数之外。

// 变量.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"

//全局变量
// 整型
int a_nNum = 22;

// 浮点型
float fNum = 2.5;

// 字符型
char ch = 'A';

int main()
{
	// 整型
	int nNum = 1;

	printf("int %d ,int %d, float %f ,char %c", a_nNum, nNum, fNum, ch);

    return 0;
}

VS反汇编结果

IDA反汇编结果

局部变量标识区只有ver_8一个变量，而全局变量则集中保存在.data区域。IDA帮我们识别出变量的类型，byte、dword，双击变量可以看到数据的定义。

双击全局变量可以进入全局变量存放区，根据右键显示的数据可以修改名称。

数组

测试代码

#include "stdafx.h"

int main()
{
	int nArr[5] = { 1,2,3,4,5 };
	int n = 2;
	nArr[n] = 20;

    return 0;
}

VS反汇编结果

当在函数内定义数组时候，如果没有其他声明，该数组即为局部变量，拥有局部变量的所有特性，数组中的数据在内存中的存储是线性连续的，其数据排列顺序由低地址到高地址。数组名称表示该数组的首地址。

这是数组在内存中的数据分布的样子

IDA反汇编结果

数组中的各项元素均为同一类型的数据，而局部变量赋值时的类型都不相同。根据此特征即可判断局部变量不是数组中的元素。在寻址的过程中，数组不同于局部变量，不会因为被赋予了常量值而使用常量传播。

在IDA中反汇编代码中，可以看出连续使用了5个4字节的内存地址，依次赋值整型数据1、2、3、4、5。双击标号“var_18”定位到标号定义处，在IDA下单击此标号，按键盘上的“*”或者右键【Array】将连续的变量定义为数组。

新建一个数组定义，大小设置为5

回到反汇编视图，选取"var_18“并使用快捷键"N”键将标号重新命名为“nAarray”，程序中所有用到该数组标号的地方将全部被修改。

IDA中F5后可看到的源代码，这款静态分析工具果真是牛逼。

结构体

测试代码

#include "stdafx.h"

//定义结构体
struct MyStruct
{
	int nNum;
	float fNum;
	char chA;

};

void Print(MyStruct stc)
{
	printf("int %d , y %f , z %c",stc.nNum,stc.fNum,stc.chA);
}

int main()
{
        //结构体初始化
	MyStruct stc = { 1,2.2,'A' };
	stc.fNum = 5.5;
	Print(stc);
    return 0;
}

VS反汇编结果

IDA反汇编结果

在反汇编结果中，初始化赋值整型变量、浮点型变量、字符型变量，而函数体内浮点型变量是赋值了第二次的。熟记结构体中所有变量都共享一片内存的特性，在反汇编中识别出结构体则在于三个变量一起传入了堆栈。逆向过程中更主要是靠猜，不对的话我们再改回来。而且改之前一定要有想法，知道自己要做什么。

为了使反汇编更利于逆向中的阅读，我们首先在结构体窗口点击【insert】键插入一个结构体

选择结构体的ends部分，点击快捷键【d】，增加结构体变量

00000001 struc_1         ends

增加三个变量，使用快捷键【n】将三个变量改名。这里要注意基础数据类型都为DD，否则有可能导致数据类型不匹配出现两个结构体问题。

00000000 struc_5         struc ; (sizeof=0x4, mappedto_25)
00000000 nNum            dd?
00000001 fNum            dd?
00000003 chA               dd?
00000004 struc_5         ends

回到反汇编窗口，双击变量。到 stack of sub_xxx（局部堆栈） 窗口下将变量转换成结构体类型

可以使用快捷键【alt+Q】，转换成指定结构体。

使用结构体解析变量后，可以看到反汇编窗口中变量以结构体形式显示。F5大法后还原高度仿真的伪C代码