甄别伪代码中的常量

原创已于 2025-08-14 13:58:56 修改 · 819 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#逆向分析 #IDA

于 2025-08-13 11:09:51 首次发布

逆向分析专栏收录该内容

30 篇文章

订阅专栏

以下是IDA9.0生成的一段伪代码：

char aPageSFplnInitA[21] = "page_s_fpln_init.adb"; // weak

  _DWORD v44[28]; // [esp+A3D0h] [ebp-168h] BYREF

        if ( (unsigned __int8)(v11 - 32) > 0x3Au )
          __gnat_rcheck_05("page_s_fms_bite.adb", 652);
        v44[k] = *(_DWORD *)&aPageSFplnInitA[4 * v11 + 8];

从字面上看，上述赋值语句从一个字符串变量中取出4个字节，赋給变量v44。

但是，这不符合常理。

经分析，语句

if ( (unsigned __int8)(v11 - 32) > 0x3Au )

实际是判断v11的值是否在值域（32，90）之中。v11用作数组的下标。

aPageSFplnInitA的起始地址是0xCC2A98.

当x11是32时，[4 * v11 + 8]=[136]，0xCC2A98+136=0xCC2B20。

在汇编清单中，从.rdata:00CC2B20开始到.rdata:00CC2C0C共有236个db，实际是59个dword。

据此定义一个未被识别的数组G_CC2B20，并修改伪代码如下：

static const unsigned32 G_CC2B20[59] = {
    4,
    4,
    4,
//以下略
};

  v44[k] = G_CC2B20[v11];

以下是第二个例子：

int dword_CC2944 = 0; // weak

  for ( i = 1; i <= 12; ++i )
  {
    v3 = *((_WORD *)&dword_CC2944 + i + 1);

在以上伪代码中，dword_CC2944是一个整型数，却被用作数组。

查看汇编：

.rdata:00CC2944 dword_CC2944 dd 0
.rdata:00CC2948 _page_gps_nav_var_0 dd offset unk_1680167
.rdata:00CC294C dd offset unk_16C016B
.rdata:00CC2950 dd offset unk_16E016D
.rdata:00CC2954 dd offset unk_263016F
.rdata:00CC2958 dd offset unk_1700264
.rdata:00CC295C dd offset unk_1720171

当i为1时：

(_WORD *)&dword_CC2944 + i + 1 = 0xCC2944 + 1*2 + 1*2 = 0xCC2948

可以看出，0xCC2948是page_gps_nav_var_0的起始地址。

page_gps_nav_var_0没有在伪代码中出现，但它应该是真正要用的数组名。

数组中被标为offset的实际是2个16位的整型数，例如，unk_1680167就是0x167和0x168。

据此可修改伪代码如下：

static const unsigned16 page_gps_nav_var_0[12] =
{
  0x167, 0x168, 0x16B, 0x16C, 0x16D, 0x16E,
  0x16F, 0x263, 0x264, 0x170, 0x171, 0x172
};

  for (i = 0; i < 12; ++i) //i改为从0开始
  {
    unsigned16 v3 = page_gps_nav_var_0[i];