sub esp,64h \\ Освобождаем память в стеке для переменных или чего либо еще.
mov al,40
push ebx \ Толкаем стек Ebx
push ebp \Толкаем стек Ebp
push esi Толкаем стек Esi
push edi Толкаем стек Edi

mov [esp+74h+var_64],al \ в переменную var_64 загружается значение в al. Верно? Или в переменную по адресу esp+74h+var_64 мы заносим al. Как правильно спасибо!

| Сообщение посчитали полезным:

[esp+74h+var_64] - по этому указателю записывается байт из AL

| Сообщение посчитали полезным:

в ячейку памяти, адрес которой равен
текущее значение esp+74h+ текущее зн. var_64,
кладем al

kid опередил

| Сообщение посчитали полезным:

правильно это выганять таких студентов
смахивает на комментарии к лабе

dosprog при модификации комментарии к каждой строке не нужны

| Сообщение посчитали полезным:

sivorog,
> + текущее зн. var_64
-- var_64 не переменная, а константа, несмотря на то, что IDA её объявил как "var_64=byte ptr -64h" для индексации регистра EBP (или ESP, как в данном случае).
А вот уже [var_64] - переменная.
Просто так ИГ было удобнее, чем через "EQU" (и серьёзно экономится потом "пространство имён" при реассемблировании).
Но задание констат через "=" - грубый приём в ассемблере, он влечёт за собой труднообнаружимые ошибки при случайном переопределении этой константы. А вот "EQU" не позволит случайно переопределить константу.
ТС просто пытается модифицировать дизассемблерный листинг, и он наделает делОв с таким подходом.
А вообще, всё это описано в любом учебнике по ассемблеру. Начинать нужно с программирования, а не с дизассемблирования, я так считаю.


P.S. - reversecode, уточню, - "sub esp,64h" и следом "var_64" - это явно после IDA. Нужно понимать, как связаны между собой эти строчки, иначе будут подобные вопросы. Лучше начинать с простого.

| Сообщение посчитали полезным:

Dimarik5

В квадратных скобках адрес задаётся, точнее смещение в сегменте(так как сегмент имеет нулевую базу, то смещение совпадает с линейным адресом). Исключение составляет инструкция LEA.

[esp+74h+var_64] вообще бредовая запись. var_* обычно для bp-based, тоесть получается [esp + N + (ebp + M)]. Что это значит можно только гадать.

| Сообщение посчитали полезным:

Dr0p пишет:
[esp+74h+var_64] вообще бредовая запись. var_* обычно для bp-based, тоесть получается [esp + N + (ebp + M)]. Что это значит можно только гадать.
ebp используется, чтобы иметь фиксированный адрес фрейма, тогда к стековой переменной из любой точки функции можно обращаться как ebp-varOffset. Если же обращаемся через esp, то последний сначала корректируется на начало фрейма, а потом от него также отсчитывается смещение переменной в фрейме: esp+(startESP-currentESP)-varOffset

| Сообщение посчитали полезным:

Dr0p пишет:
[esp+74h+var_64] вообще бредовая запись
74h - Так в иде указывается текущий указатель стека в месте инструкции, если в качестве базы esp. Для ebp не указывается

-----
IZ.RU

| Сообщение посчитали полезным:

Уточню для внесения полной ясности. Два (основных) способа организации локальных переменных.


1) Один - стандартный. Этот генерируется большинством компиляторов:

- - - - - - - - - - -- - - - - - - - -- - - - - - - >8
push ebp
mov ebp,esp
sub esp, LOCAL_VARIABLES_SIZE
- - - - - - - - - - -- - - - - - - - --- - - - - - >8

-- тогда значение var_* для локальных переменных - отрицательное и минимальное значение имеет {-LOCAL_VARIABLES_SIZE} с базированием по EBP (он так и называется - "base pointer"). Для аргументов процедуры тогда - var_* всегда положительные.


2) А такой способ удобен при ручном программировании (и я видел такое после какого-то диковинного старинного компилятора 80-х годов):

- - - - - - - - - - -- - - - - - - - -- - - - - - - >8
push ebp
sub esp, LOCAL_VARIABLES_SIZE
mov ebp,esp
- - - - - - - - - - -- - - - - - - - --- - - - - - >8

-- тогда var_* - всегда положительные и для локальных переменных и для аргументов функции.
Недостаток - заначение (*) для первого аргумента будет зависеть от (LOCAL_VARIABLES_SIZE+4*2).
Достоинство - локальные переменные удобно описывать как STRUC.

Это всё для FLAT модели, где все вызовы NEAR. При USE16 всё осложняется тем, что вызовы могут быть и FAR.

В этих обоих способах область переменных задаётся регистром EBP как постоянное смещение в сегменте стека (с базой=0).
И в том и в другом случае регистр EBP в процедуре изменяться не должен.
Тогда IDA назначает корректные осмысленные имена для var_* и проблем нет.


Такой способ организации стека, как в заголовке темы (третий способ), - извращение. Может применяться для обфускации ассемблерного текста. Адресация с переменной (esp) базой, зависящей от текущей наполненности стека.
В данном конкретном случае [esp+74h+var_64] - это ячейка, в которой записан адрес возврата из процедуры ,это если всё-же принять, что var_64=-64h (иначе - да - это указатель в никуда). В младший байт этого адреса записывается 40.
Но IDA такого не сгенерировал бы (я так думаю, не проверял). Интересующиеся могут провести эксперименты.

--------------------------add-----------------------------
P.S. - DenCoder в предыдущем посте как раз и осветил ошибочность моего последнего предположения.
P.P.S - а также ClockMan в последующем.

| Сообщение посчитали полезным:

dosprog пишет:
Такой способ организации стека, как в заголовке темы, - извращение. Может применяться для обфускации ассемблерного текста.
Файло из этой темы --> Link <--
Смотрим функцию по адресу 00473E00
Asm

IDA




-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan,
признал. C IDA я не очень, всё больше с самодельными и с HIEW...

Это "детали реализации" компилятора.

Полная ясность.

| Сообщение посчитали полезным:

dosprog пишет:
P.S. - DenCoder в предыдущем посте как раз и осветил последнее предположение
Как бы это не предположение
В настройках иды на вкладке Disassembly в груп-боксе Display disassembly line parts по умолчанию убран чек на Stack Pointer. Если поставить, то каждую строку с инструкцией будет предварять текущее относительное начала функции положение указателя стека. Оно сходится с тем же числом, что в инструкциях адресации локальных переменных в не ebp-based функциях

-----
IZ.RU

| Сообщение посчитали полезным:

rmn

> ebp используется, чтобы

Ответ исчерпывающий, но напрасный

Зачем сразу ebp и esp юзать то ?

Или это кривые дизасмы иды

| Сообщение посчитали полезным:

Dr0p пишет:
Ответ исчерпывающий, но напрасный
модеры убрали самое вкусное

Dr0p пишет:
Зачем сразу ebp и esp юзать то ?
а где они там одновременно юзаются? в прологе видно же, что ebp сохраняется, т.к. будет использоваться внутри функции.

| Сообщение посчитали полезным:

rmn,
насчёт вкусного - если с чем-то не согласны, напишите с чем. Увидели неточность - поправьте (если есть охота). А наезды взаимные неуместны.

Dr0p,
тут, по-моему, не в кривости IDA дело, а в том, что код писался вручную и намеренно не вполне аккуратно. А IDA-то справляется адекватно - ведь оттранслируется всё верно.

| Сообщение посчитали полезным:

Спасибо за ответы теперь понял что к чему.


| Сообщение посчитали полезным:

dosprog

> не в кривости IDA дело

Именно в ней. Ида это шедевр, такого кривого дизасма нет нигде.

| Сообщение посчитали полезным: Abraham

dosprog, Dr0p
так а в чем кривость то? где вы там увидели обращение к локальным переменным и через esp и через ebp одновременно? Если компилятору регистров не хватило, он использует ebp как general purpose register и адресацию переменных через esp.
Одновременное использование обоих регистров для адресации переменных возможно в случае, когда код пишет упоротый кодер на асме или дельфовый компилер такое может сгенерить: ebp указывает на общий фрейм top-level функции, а esp используется для адресации во фреймах вложенных функций.

| Сообщение посчитали полезным: dosprog