提取及反汇编函数.docVIP

提取及反汇编函数 Hcper @ 2012年12月8日星期六 在调试过程中有时候会遇到一些函数，它在汇编的情况下难以理解。如果用IDA的HexRay插件是可以转化难以理解的汇编码为C代码。但是，有时候又没必要反汇编整个文件，如果文件比较小还好说，一兆以上往往要花费很多时间，而且大多数时候是做无用功的。 如果能够把要分析的函数代码拷出来为一个单独的二进制文件，用IDA在函数实际的地址上建立段，并建立函数，然后用HexRay插件反成C代码，这样就可以很好的分析函数了。 下面用一个例子说明，分析的是一个mshtml.dll里面的一个函数。 这个mshtml.dll文件很大，如果用IDA反汇编整个文件估计要花很多时间。 如果我们只分析其中的一个函数，那就没必要分析整个文件，我们用windbg附加到那个进程，把要分析的函数二进制码导出到单独的文件里，qd安全退出。然后用IDA按以上方法分析即可。 要反汇编的函数调用结构大概如下： 0:000 uf /c 3dea0a43 mshtml!IERegisterXMLNS+0x9bf59 (3dea0a43) mshtml!IERegisterXMLNS+0x9bf70 (3dea0a5a): call to mshtml!DllGetClassObject+0x8d36b (3db2a740) mshtml!IERegisterXMLNS+0x9bf7e (3dea0a68): call to mshtml!DllGetClassObject+0x888e0 (3db25cb5) mshtml!IERegisterXMLNS+0x9bfa0 (3dea0a8a): call to mshtml!CreateHTMLPropertyPage+0x42b05 (3ddd16ef) 在windbg下用uf反汇编看看 0:000 uf 3dea0a43 mshtml!IERegisterXMLNS+0x9bf59: 3dea0a43 8bff mov edi,edi //这里是函数开头 3dea0a45 55 push ebp 3dea0a46 8bec mov ebp,esp 3dea0a48 8b08 mov ecx,dword ptr [eax] 3dea0a4a 53 push ebx 3dea0a4b 8b5d08 mov ebx,dword ptr [ebp+8] 3dea0a4e 57 push edi 3dea0a4f 8bc1 mov eax,ecx 3dea0a51 83e00f and eax,0Fh 3dea0a54 8d7e18 lea edi,[esi+18h] 3dea0a57 50 push eax 3dea0a58 890f mov dword ptr [edi],ecx 3dea0a5a e8e19cc8ff call mshtml!DllGetClassObject+0x8d36b (3db2a740) 3dea0a5f 85c0 test eax,eax 3dea0a61 7411 je mshtml!IERegisterXMLNS+0x9bf8a (3dea0a74) mshtml!IERegisterXMLNS+0x9bf79: 3dea0a63 6a08 push 8 3dea0a65 57 push edi 3dea0a66 8bc3 mov eax,ebx 3dea0a68 e84852c8ff call mshtml!DllGetClassObject+0x888e0 (3db25cb5) 3dea0a6d 895e04 mov dword ptr [esi+4],ebx 3dea0a70 891e mov dword ptr [esi],ebx 3dea0a72 eb2a jmp mshtml!IERegisterXMLNS+0x9bfb4 (3dea0a9e) mshtml!IER