C++ 在不调试正在运行的程序的情况下计算对象的内存布局?
我正在做一个逆向工程项目。我正在使用IDA Pro和Hex-Rays反编译器。我遇到了代码块,我知道有一个对象,有一个对该对象的方法调用,但它以一种我无法理解的方式显示出来。例如:C++ 在不调试正在运行的程序的情况下计算对象的内存布局?,c++,reverse-engineering,ida,C++,Reverse Engineering,Ida,我正在做一个逆向工程项目。我正在使用IDA Pro和Hex-Rays反编译器。我遇到了代码块,我知道有一个对象,有一个对该对象的方法调用,但它以一种我无法理解的方式显示出来。例如: if ( (*(*interfacePtr + 24))(interfacePtr, &v23) >= 0 ) 这里我知道interfacePtr指向一个ICLRRuntimeHost对象。(C++,.NET CLR运行时)但是。。。。我不知道*(*interfacePtr+24)是什么。我可以说这
if ( (*(*interfacePtr + 24))(interfacePtr, &v23) >= 0 )
这里我知道interfacePtr指向一个ICLRRuntimeHost对象。(C++,.NET CLR运行时)但是。。。。我不知道*(*interfacePtr+24)是什么。我可以说这是一个方法,但如何计算+24的位置?类的vtable只是指向函数的指针列表。它为每个虚函数包含一个指针,顺序是:非常非常顶级的基类,下一个基类,它的子类。大多数派生类 例如:
struct A {
virtual ~A() {}
virtual void foo() = 0;
}
struct B : public A {
virtual void foo() { // do something }
virtual void bar() { // do something else }
}
- ~A
- 福
- 酒吧
确认的简单方法:编写自己的程序。声明ICLRRuntimeHost类型的变量。调用您怀疑的函数(基于查看头文件并计数到7或4,取决于比特数,如果我误解了您的示例,则为24)。查看生成的汇编代码,并确认索引是否正确。(在这类事情上,我总是以一个为准,所以这将提供一个检查。)看看
mscoree.hICLRRuntimeHostVtblICLRRuntimeHostVtblstruct ICLRRuntimeHost {
ICLRRuntimeHostVtbl *vtbl;
};
struct ICLRRuntimeHostVtbl {
_DWORD (*QueryInterface)(ICLRRuntimeHost*, _DWORD*, void**);
_DWORD (*AddRef)(ICLRRuntimeHost*);
_DWORD (*Release)(ICLRRuntimeHost*);
_DWORD (*Start)(ICLRRuntimeHost*);
_DWORD (*Stop)(ICLRRuntimeHost*);
_DWORD (*SetHostControl)(ICLRRuntimeHost*, void*);
_DWORD (*GetCLRControl)(ICLRRuntimeHost*, void**);
};
interfacePtr->GetCLRControl(&v23);
struct ICLRRuntimeHost {
ICLRRuntimeHostVtbl *vtbl;
};
struct ICLRRuntimeHostVtbl {
_DWORD (*QueryInterface)(ICLRRuntimeHost*, _DWORD*, void**);
_DWORD (*AddRef)(ICLRRuntimeHost*);
_DWORD (*Release)(ICLRRuntimeHost*);
_DWORD (*Start)(ICLRRuntimeHost*);
_DWORD (*Stop)(ICLRRuntimeHost*);
_DWORD (*SetHostControl)(ICLRRuntimeHost*, void*);
_DWORD (*GetCLRControl)(ICLRRuntimeHost*, void**);
};
interfacePtr->GetCLRControl(&v23);
你不觉得在一个逆向工程论坛上回答这个问题更好吗?或者可能是IDA/hex-rays论坛,在为这个软件支付了高昂的价格后,您应该可以访问这个论坛?IDA可以解析C头文件进行结构声明
ICLRRuntimeHostmscoree.hinterfacePtrICLRRuntimeHost