跳转地址,快捷键G,输入地址或16进制数,即可跳转到指定地址。
IDA可后退前进,还有历史记录。回退快捷键Esc。
栈帧
函数运行时分配的内存块。
调用函数步骤:
1.调用方将被调用函数的参数放入指定位置。
2.将控制权交给被调用函数 由 x86 call 或MIPS JAL等执行。并将返回地址保存。
3.有必要的话,被调用函数会配置一个栈指针。
4.为局部变量分配空间。
5.生成结果,放入寄存器。
6.释放栈空间。
7.恢复原来保存的值。
8.返还控制权,X86 ret 或MIPS JR ,清除栈。
9.调整栈。
调用约定
调用约定,指调用方放置函数参数的位置。
1.C调用约定(cdecl)
按从右到左的顺序将参数入栈,即栈顶指向函数第一个参数。程序结束,要从调用方清除栈,适用于参数数量可变的函数。
2.标准约定(stdcall)
顺序从左到右,但是是被调用函数清除栈,适用于参数数量固定的函数。
3.x86fastcall调用约定
stdcall的一个变体,向寄存器最多传递前2个参数到ECX和EDX,其余参数依次入栈。
4.C++调用约定(thiscall)
Microsoft Visual C++,将this传递到ECX寄存器中,要求非静态成员函数清除栈。
GUN g++,this可看做所有非静态成员函数的第一个隐含参数。调用非静态成员函数前,this被放入栈顶,且调用方清除栈。
5.系统调用
栈帧
在X86中,EBP(扩展基址指针)通常用作栈帧指针。
以此函数为例。
1.保存EBP
2.指向当前栈位置。
3.分配局部变量。
栈帧布局:
bar调用:
尾声:
清除栈,然后将保存的EBP恢复,然后ret返回。
IDA栈视图
我们来看看它加载到IDA的情况:
1.IDA认为函数使用EBP寄存器作为栈指针。
2.gcc在栈中分配了120字节(78h)。
3.120字节包括这两个参数值。编译器会用额外的字节填补局部变量空间,确保特殊的对齐方式。
4.摘要栈视图:根据相对于被保存的地址的位置命名变量,局部变量在被保存的地址之上,函数参数在之下。局部变量var_XX,函数参数arg_XX。在这个函数中,因为没有使用参数a,所以没有arg_0.
栈帧视图:
文本搜索
快捷键ALT+T
必须搜索完整的词。比如搜索11111,找不到loc-11111.
CTRL+T显示下一匹配结果。
二进制搜索
快捷键ALT+B CTRL+B 显示下一匹配结果。
Case-sensitive 区分大小写。
