7、逆向工程中的数据类型与数据结构解析

逆向工程中的数据类型与数据结构解析

1. 数据理解基础

在逆向工程中，理解分析二进制文件时遇到的数据类型和数据结构是基础。传入函数的数据是逆向推导函数签名（函数所需参数的数量、类型和顺序）的关键。此外，函数内声明和使用的数据类型与数据结构能为了解每个函数的功能提供额外线索。

1.1 数据类型关联

将特定数据类型与变量关联的最简单方法，是观察该变量作为已知函数的参数的使用情况。在分析阶段，Ghidra 会根据变量与已知原型函数的使用情况来标注数据类型。对于导入的库函数，Ghidra 通常已知其原型，可通过在列表窗口或符号树窗口中悬停在函数名上来查看。若 Ghidra 不知函数的参数顺序，至少会知道函数导入自哪个库。此时，可通过关联的手册页或其他可用的 API 文档来了解函数的签名和行为，也可借助搜索引擎。

1.2 库函数分析

理解二进制程序行为的一个有效方法是记录程序调用的库函数。例如，调用 connect 函数的 C 程序正在创建网络连接，调用 RegOpenKey 的 Windows 程序正在访问 Windows 注册表。但要深入理解这些函数的调用方式和原因，还需进一步分析。

以调用 connect 函数获取 HTML 页面的 C 程序为例，调用 connect 需知道托管页面的服务器的 IP 地址和目标端口，这由 getaddrinfo 库函数提供。Ghidra 会识别该库函数并在调用处添加注释。可通过以下方式获取更多信息：
- 悬停在指令右侧的缩写注