reverse常见函数

发表于2025-07-04|更新于2025-07-08

|浏览量:

逆向积累

1.字符串相等

这里i64相当于LL

0i64=0LL,1i64=1LL

__int64 __fastcall equal(_QWORD *a1, _QWORD *a2)
{
  __int64 v2; // rbx
  int v4; // ebx
  unsigned __int64 i; // [rsp+28h] [rbp-58h]

  v2 = sub_425120(a1);
  if ( v2 != sub_425120(a2) )
    return 0i64;
  for ( i = 0i64; sub_425120(a1) > i; ++i )
  {
    v4 = *(_DWORD *)sub_425200(a1, i);
    if ( v4 != *(_DWORD *)sub_425200(a2, i) )
      return 0i64;
  }
  return 1i64;

__int64 __fastcall sub_425120(_QWORD *a1)
{
  return (__int64)(a1[1] - *a1) >> 2;
}

这个函数获取了a1这个数组第一项和第0项的差值，如果差值都不相等，那就不用比了

__int64 __fastcall sub_425200(_QWORD *a1, __int64 a2)
{
  return 4 * a2 + *a1;
}

这个是计算第a2个位置的地址

回顾之前的比较函数：

for ( i = 0i64; sub_425120(a1) > i; ++i )
{
  v4 = *(_DWORD *)sub_425200(a1, i);  // 这里调用sub_425200
  if ( v4 != *(_DWORD *)sub_425200(a2, i) )
    return 0i64;
}

功能：

使用 sub_425200(a1, i) 获取数组 a1 中第 i 个元素的地址
使用 *(_DWORD *) 将该地址解释为32位整数指针并取值
对数组 a2 执行相同操作
比较两个值是否相等

文章作者: infinite

文章链接: http://infinitepwn.github.io/post/20250704221013.html

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 infinite_blog！

相关推荐

z3的使用在crypto中，经常会遇到某些带有限制的方程，有一些可以用线性代数的语言翻译，但有些则不行，比如与运算或运算，没办法简单用线性代数求解，那么这时候就需要z3 一、求解带不等式的方程声明变量 1x = Int('x') solve可以解决方程 12345from z3 import *x = Int('x')y = Int('y')solve(x > 2, y < 10, x + 2*y == 7) 可以解决这样的方程问题二、求解非多项式约束，例如位运算假设我们有一个方程： 1(x & 0xFF) ^ (x >> 8) == 0x37 其中 x 是一个 16 位的变量（即 0 ≤ x < 65536），我们希望找到满足条件的 x。 1234567891011121314151617from z3 import *# 创建 16 位变量x = BitVec('x', 16) # 16-bit 变量#...

1.什么是PE? PE（ Portable Execute）文件是Windows下可执行文件的总称，常见的有 DLL，EXE，OCX，SYS 等。它是微软在 UNIX 平台的 COFF（通用对象文件格式）基础上制作而成。最初设计用来提高程序在不同操作系统上的移植性，但实际上这种文件格式仅用在 Windows 系列操作系统下。PE文件是指 32 位可执行文件，也称为PE32。64位的可执行文件称为 PE+ 或 PE32+，是PE(PE32)的一种扩展形式（请注意不是PE64) 总而言之就是可执行文件一个文件是不是可执行文件和后缀名无关在Linux中，ELF是可执行文件 image-20250627223959874 PE文件的结构包括 DOS头，NT头，节表以及具体的节** dos头的作用兼容性：当PE文件在DOS系统下运行时，DOS头中的代码会执行，通常显示一个错误信息（例如："This program cannot be run in DOS...