Проблема с анализом функций.

Сейчас на форуме: _MBK_, Adler (+6 невидимых)

Посл.ответ	Сообщение
yanus0 Ранг: 137.9 (ветеран), 45thx Активность: 0.08↘0 Статус: Участник	Создано: 03 ноября 2011 22:02 · Личное сообщение · #1 Здравствуйте. Исследую одну библиотеку, в ней вызов функций идет через стек (может ошибаюсь, но не знаю как правильно назвать) пример: Code: 1002D670 /$ 6A FF PUSH -1 1002D672 \|. 68 996F0410 PUSH LicenseT.10046F99 1002D677 \|. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0] 1002D67D \|. 50 PUSH EAX 1002D67E \|. 83EC 48 SUB ESP,48 1002D681 \|. A1 20700610 MOV EAX,DWORD PTR DS:[10067020] 1002D686 \|. 33C4 XOR EAX,ESP 1002D688 \|. 50 PUSH EAX 1002D689 \|. 8D4424 4C LEA EAX,DWORD PTR SS:[ESP+4C] 1002D68D \|. 64:A3 0000000>MOV DWORD PTR FS:[0],EAX 1002D693 \|. 8B06 MOV EAX,DWORD PTR DS:[ESI] 1002D695 \|. 8B50 14 MOV EDX,DWORD PTR DS:[EAX+14] 1002D698 \|. 57 PUSH EDI 1002D699 \|. 8BCE MOV ECX,ESI 1002D69B \|. FFD2 CALL EDX <------------------------------------------ 1002D69D \|. 84C0 TEST AL,AL 1002D69F \|. 75 3B JNZ SHORT LicenseT.1002D6DC 1002D6A1 \|. 8B06 MOV EAX,DWORD PTR DS:[ESI] 1002D6A3 \|. 8B50 2C MOV EDX,DWORD PTR DS:[EAX+2C] 1002D6A6 \|. 8BCE MOV ECX,ESI 1002D6A8 \|. FFD2 CALL EDX <------------------------------------------ 1002D6AA \|. 8B10 MOV EDX,DWORD PTR DS:[EAX] 1002D6AC \|. 8B52 08 MOV EDX,DWORD PTR DS:[EDX+8] 1002D6AF \|. 8D4C24 04 LEA ECX,DWORD PTR SS:[ESP+4] 1002D6B3 \|. 51 PUSH ECX 1002D6B4 \|. 8BC8 MOV ECX,EAX 1002D6B6 \|. FFD2 CALL EDX<------------------------------------------ И так большинство функций. Напрягает неимоверно. Я так пониманию, что это какая-то оптимизация компилятора. В библиотеке используется Crypto++, сигнатуры применил, но распозналось очень мало функций, по моему мнению как раз через специфический вызов функций. Подскажите как перекомпилировать Crypto++, чтобы коллы были подобные тем что выше. Peid по библиотеке говорит: Code: Microsoft Visual C++ 8.0 DLL Method2 Visual Studio 2005?

r_e Ранг: 590.4 (!), 408thx Активность: 0.36↘0.18 Статус: Модератор	Создано: 03 ноября 2011 22:26 · Личное сообщение · #2 Дык а что тут странного? Обычный this->Fn(...) вызов. ----- старый пень
bowrouco Ранг: 47.7 (посетитель), 17thx Активность: 0.09↘0 Статус: Участник	Создано: 03 ноября 2011 22:31 · Личное сообщение · #3 > Подскажите как перекомпилировать Crypto++ В привате есть инструменты, на паблике нет. Единственный - ида, дерьмо конечно, но нет альтернативы. Эта задача из области пермутации, это блек.
yanus0 Ранг: 137.9 (ветеран), 45thx Активность: 0.08↘0 Статус: Участник	Создано: 04 ноября 2011 00:54 · Личное сообщение · #4 bowrouco пишет: Единственный - ида, дерьмо конечно, но нет альтернативы Сорсы Crypto++ нужной версии у меня есть, но там нормальные вызовы, как в прилинкованой либе они стали не нормальными...? r_e пишет: Дык а что тут странного? Обычный this->Fn(...) вызов. Если есть исходник, как его изменить чтобы получить такие вызовы? В СИ я не силен.
sendersu Ранг: 512.7 (!), 360thx Активность: 0.27↘0.03 Статус: Модератор	Создано: 04 ноября 2011 01:06 · Личное сообщение · #5 yanus0 пишет: Если есть исходник, как его изменить чтобы получить такие вызовы? Видимо речь идет о уровне оптимизации http://www.tantalon.com/pete/cppopt/compiler.htm особое внимание на ключи компилятора /O \| Сообщение посчитали полезным: yanus0
r_e Ранг: 590.4 (!), 408thx Активность: 0.36↘0.18 Статус: Модератор	Создано: 04 ноября 2011 03:34 · Личное сообщение · #6 yanus0 Что-то я вообще не пойму об чем речь. В коде выше в ESI = this на входе функции, пролог стандартный. Дальше идет вполне стандартный код с ECX = this. Аналог на с++ был бы sub_1002D670(esi = obj) { esi->Fn14(...); esi->Fn2C(...)->Fn8(...); ... Что это конкретно за код, можно выявить скомпилировав ту же версию crypto++ с теми же ключами (или близкими), сделав сигнатуры и применив их к коду. анализом, например, в иде. Причем второе можно и без сигнатур, но ручной работы больше будет ----- старый пень \| Сообщение посчитали полезным: yanus0
yanus0 Ранг: 137.9 (ветеран), 45thx Активность: 0.08↘0 Статус: Участник	Создано: 04 ноября 2011 13:32 · Личное сообщение · #7 r_e sendersu Да вроде это, то что нужно. Закрывать пока не буду, сижу разбираюсь.

Для печати