티스토리 뷰

보안/분석

Reversing Secrets Of Reverse Engineering : RtlNumberGenericTableElements

NineKY 2009. 10. 11. 19:12
위 책에서는 RtlNumberGenericTableElements 함수에 대해 나온다. 코드를 살펴보면 다음과 같다. 
RtlNumberGenericTableElements:
7C923FD2    PUSH EBP
7C923FD3    MOV EBP,ESP
7C923FD5    MOV EAX,DWORD PTR [EBP+8]
7C923FD8    MOV EAX,DWORD PTR [EAX+14]
7C923FDB    POP EBP
7C923FDC    RET 4

//---------------------------------------------------------
// 다음과 같이 생각을 할 수 있다.
7C923FD2    PUSH EBP
7C923FD3    MOV EBP,ESP

7C923FD5    MOV EAX,DWORD PTR [EBP+8]
7C923FD8    MOV EAX,DWORD PTR [EAX+14]
/*
 unknownstructure1                 = arg.1
 return unknownstructure1.element-x

 'RtlNumberGenericTableElements' 의 이름에서 추측을 하면 Element 의 개수와 관련있는 것을 알 수 있으며,
 리턴 값이 저장되는 EAX 레지스터에 unknownstructure1.element-x를 저장하는 것을 알 수 있다.
 정리하면, EAX+14 는 Element의 개수, NumberOfElements 

 struct _unknownstruct1
 {
   int element1;
   struct _unknownstruct2
   {
     struct _unknownstruct2* element1;
     struct _unknownstruct2* element2;
   };
   struct _unknownstruct2* element3;
   int element4;
   int element5;         // 이곳이 ULONG NumberOfElements 가 된다.
   unknown element6;
   unknown element7;
   unknown element8;
   unknown element9;
 } unknownstruct;
*/

7C923FDB    POP EBP
7C923FDC    RET 4
//---------------------------------------------------------
저작자표시 비영리 변경금지

'보안 > 분석' 카테고리의 다른 글

Reversing Secrets Of Reverse Engineering : RtlGetElementGenericTable  (1) 2009.10.11
Reversing Secrets Of Reverse Engineering : RtlIsGenericTableEmpty  (0) 2009.10.11
Reversing Secrets Of Reverse Engineering : RtlInitializeGenericTable  (4) 2009.10.11
[노트] .COD 와 release 결과물의 차이  (0) 2009.09.17
[자문 自問] POP 대신에 ADD ESP, XX 를 이용하는 이유 ?  (3) 2009.09.16
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG more
«   2024/05   »
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31
글 보관함