【原创】类的逆向分析

类的权限控制只是编译器的产物，在汇编层次无法体现



类的构造函数VC特征
1.调用时，传递this指针。例如：lea ecx, [ebp+testb] ; this
2.函数内部，先处理this指针。例如：mov [ebp+this], ecx
3.若是有虚函数，则虚函数表赋值.例如：mov dword ptr [eax], offset ??_7CTestA@@6B@ ; const CTestA::`vftable'
4.返回this指针.例如：mov eax, [ebp+this]




类的析构函数VC特征
1.调用时，传递this指针。例如：lea ecx, [ebp+testb] ; this
2.函数内部，先处理this指针。例如：mov [ebp+this], ecx
3.若是有虚函数，则虚函数表赋值.mov dword ptr [eax], offset ??_7CTestA@@6B@ ; const CTestA::`vftable'
4.无返回值




类的成员函数VC特征
1.调用时，传递this指针。例如：lea ecx, [ebp+testb] ; this
2.函数内部，先处理this指针。例如：mov [ebp+this], ecx
3.函数地址引用，只有CALL指令。

类的内联成员函数VC特征
与类的成员函数VC特征一样




类的虚成员函数VC特征
1.调用时，传递this指针。例如：lea ecx, [ebp+testb] ; this
2.函数内部，先处理this指针。例如：mov [ebp+this], ecx
3.函数地址引用，能在虚表中找到。例如：
.rdata:00402394 ; const CTestA::`vftable'
.rdata:00402394 ??_7CTestA@@6B@ dd offset ?Sub@CTestA@@UAEHHH@Z
.rdata:00402394 ; DATA XREF: CTestA::CTestA(int,char,int)+Ao
.rdata:00402394 ; CTestA::CTestA(void)+Ao ...
.rdata:00402394 ; CTestA::Sub(int,int)
.rdata:00402398 dd offset ?Sub@CTestA@@UAEHXZ ; CTestA::Sub(void)
.rdata:0040239C dd 0
类的内联虚成员函数VC特征
与类的虚成员函数VC特征一样


类的静态成员函数VC特征
1.与普通函数无异。