[讨论]标准编译器什么情况下会使用ebp传递参数？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
mratlatsn 雪币： 204 活跃值： (911) 能力值： (RANK：1324 ) 在线值：发帖 33 回帖 187 粉丝 22 关注私信	mratlatsn 10 2 楼啊？PUSH不是用的堆栈么 2015-10-31 23:37 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 3 楼编译器有标准吗？ push ebp 是堆栈吧？像 mov ecx,xxx ，lea ecx 这类才是用ecx传递参数吧？ 2015-11-1 00:54 0
bxc 雪币： 7077 活跃值： (3603) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 33 关注私信	bxc 6 4 楼 OD跟踪时，ebp的值是2，明显是个参数。我的意思是在这段代码的调用者那里，ebp被赋值，然后这段代码使用ebp传递进来的参数。跟实际情况有些出入，大致意思不变。实际情况是，这段代码是个类成员函数，this通过ecx传递进来，另外还有一个参数。是某控件的id。而ebp正好是这个参数的备份，粗略的看下这段代码就能发现，该函数被编译时并没有框架指针（Frame Pointer Omission优化？）所以ebp寄存器可以空闲出来留作它用。如果以c++来表达这个函数的话，应该是下面这样的： int __thiscall func(int id); 或者 int ClsXX::func(int id); 但是我分析时发现在这段代码里使用那个id参数时，有2种方式: 一种是传统的栈寻址[esp+XX]，因为没有框架指针所以是esp寻址。另一种就是直接push ebp。 2015-11-1 02:10 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 5 楼你说的是不是这个？，VC的/Oy选项。 5c7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4F1j5X3I4G2k6%4y4Q4x3X3g2U0L8$3#2Q4x3V1k6S2N6%4m8S2N6s2m8Q4x3V1k6S2M7X3y4Z5K9i4k6W2i4K6u0r3x3U0l9H3z5g2)9J5c8U0p5I4i4K6u0r3x3o6c8Q4x3V1j5I4y4e0V1#2z5e0R3^5i4K6u0W2K9s2c8E0L8l9`.`. Frame Pointer Omission 我觉得翻译为“栈帧指针删减”好一点. 这样也只是把ebp作为普通寄存器而已，push ebp跟push eax没什么不同。都是把寄存器的值放到堆栈而已。子函数访问参数时仍是访问堆栈。如果ebp的值在调用中没有发生改动的话，可能会被再次利用，这个只有编译器才知道了。传统的参数访问是用 ebp +- xxxx，用了这个选项之后，ebp留作他用，改用 esp 寻址。 2015-11-1 03:30 0
bitt 雪币： 435 活跃值： (1422) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 635 粉丝 19 关注私信	bitt 5 6 楼肯定是fpo优化了未优化的代码，ebp是栈帧基址，用来局部变量寻址，一般函数体内值都不会动开了fpo，ebp就跟几个通用寄存器一样了里面放个临时变量很正常 2015-11-2 16:16 0
bxc 雪币： 7077 活跃值： (3603) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 33 关注私信	bxc 6 7 楼我觉得好像也是这样~ 2015-11-2 20:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
mratlatsn 雪币： 204 活跃值： (911) 能力值： (RANK：1324 ) 在线值：发帖 33 回帖 187 粉丝 22 关注私信	mratlatsn 10 2 楼啊？PUSH不是用的堆栈么 2015-10-31 23:37 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 3 楼编译器有标准吗？ push ebp 是堆栈吧？像 mov ecx,xxx ，lea ecx 这类才是用ecx传递参数吧？ 2015-11-1 00:54 0
bxc 雪币： 7077 活跃值： (3603) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 33 关注私信	bxc 6 4 楼 OD跟踪时，ebp的值是2，明显是个参数。我的意思是在这段代码的调用者那里，ebp被赋值，然后这段代码使用ebp传递进来的参数。跟实际情况有些出入，大致意思不变。实际情况是，这段代码是个类成员函数，this通过ecx传递进来，另外还有一个参数。是某控件的id。而ebp正好是这个参数的备份，粗略的看下这段代码就能发现，该函数被编译时并没有框架指针（Frame Pointer Omission优化？）所以ebp寄存器可以空闲出来留作它用。如果以c++来表达这个函数的话，应该是下面这样的： int __thiscall func(int id); 或者 int ClsXX::func(int id); 但是我分析时发现在这段代码里使用那个id参数时，有2种方式: 一种是传统的栈寻址[esp+XX]，因为没有框架指针所以是esp寻址。另一种就是直接push ebp。 2015-11-1 02:10 0
toofunny 雪币： 114 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 14 回帖 239 粉丝 0 关注私信	toofunny 1 5 楼你说的是不是这个？，VC的/Oy选项。 5c7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4F1j5X3I4G2k6%4y4Q4x3X3g2U0L8$3#2Q4x3V1k6S2N6%4m8S2N6s2m8Q4x3V1k6S2M7X3y4Z5K9i4k6W2i4K6u0r3x3U0l9H3z5g2)9J5c8U0p5I4i4K6u0r3x3o6c8Q4x3V1j5I4y4e0V1#2z5e0R3^5i4K6u0W2K9s2c8E0L8l9`.`. Frame Pointer Omission 我觉得翻译为“栈帧指针删减”好一点. 这样也只是把ebp作为普通寄存器而已，push ebp跟push eax没什么不同。都是把寄存器的值放到堆栈而已。子函数访问参数时仍是访问堆栈。如果ebp的值在调用中没有发生改动的话，可能会被再次利用，这个只有编译器才知道了。传统的参数访问是用 ebp +- xxxx，用了这个选项之后，ebp留作他用，改用 esp 寻址。 2015-11-1 03:30 0
bitt 雪币： 435 活跃值： (1422) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 635 粉丝 19 关注私信	bitt 5 6 楼肯定是fpo优化了未优化的代码，ebp是栈帧基址，用来局部变量寻址，一般函数体内值都不会动开了fpo，ebp就跟几个通用寄存器一样了里面放个临时变量很正常 2015-11-2 16:16 0
bxc 雪币： 7077 活跃值： (3603) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 33 关注私信	bxc 6 7 楼我觉得好像也是这样~ 2015-11-2 20:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复