????this指針是C++成員函數(shù)中隱含的一個參數(shù), 一般是第一個參數(shù). 比如

????在對應(yīng)的匯編代碼中, 一般是用寄存器ECX來存放this指針. 上圖中的 __thiscall 是調(diào)用約定中的一種, 說明這個函數(shù)隱含有this指針. (如果有需要的話, 可以寫一篇文章來說一下調(diào)用約定)

????最開始的時候, IDA Pro將一些函數(shù)識別為了__thiscall 的, 也就是成員函數(shù). Visual Studio是不支持將函數(shù)聲明為__thiscall 的, 所以, 我將__thiscall 用宏替換為空, 就不會報錯了.

類和結(jié)構(gòu)體的識別

????在反編譯的過程中, 對this指針的處理一般是 : (1) 將this替換為其他名稱, 比如self, 因為this是C++關(guān)鍵字, 不能作為參數(shù)名. (2) 使用 #define __thiscall 替換掉__thiscall. 此時, 該函數(shù)將變成普通的函數(shù).

????對于成員變量, IDA Pro一般也是識別不出來的. 只能識別出一個類型錯誤的指針. 需要首先分析出整個類或結(jié)構(gòu)體包含的成員變量的字節(jié)數(shù). 然后根據(jù)使用到成員變量的地方詳細(xì)分析出每個變量的字節(jié)數(shù).

????分析出成員變量就完成絕大部分了. 只需要把函數(shù)放到類或結(jié)構(gòu)體中就完成了類或結(jié)構(gòu)體的識別.

????反編譯掃雷時用不到上述知識.

掃雷this指針處理

????反編譯掃雷時, 所有包含this指針的函數(shù)都是這個形式的

????也就是根本沒用到, 所以完全可以把這個參數(shù)去掉. 這種情況很可能是IDA Pro分析出錯了, 我對著匯編代碼確認(rèn)了一遍, 發(fā)現(xiàn)確實沒用到, 那么可以安心的去掉了.

????這么做的意義在于可以少量的減少代碼, 去掉一點影響分析的因素.