我可以识别“功能”吗？在 x86 二进制文件中？

Question

“函数”是指二进制文件的一个块（或块图），它从一个点开始（可能来自 CALL 指令之一），可能建立一个堆栈帧，并具有 RET 形式的一个或多个端点（并且根据调用约定，它也可能展开所述堆栈帧）。

我当前的想法是将各种条件分支指令视为图中的连接点，并以这种方式对代码进行广度优先搜索。这到底可行吗？如果没有，更好的方法是什么？

我的目标就是：提取函数。纯粹是为了做这件事。如果我有时间和想法的话，也许稍后会做一些奇特的事情。

Answer 1

您可以使用反汇编程序库，例如BeaEngine来执行此操作为您辛苦工作，然后搜索 call 的助记符。

Answer 2

如果没有符号表，我会说：几乎不可能。至少没有误报/漏报。

你首先需要的是一个反汇编程序。仅仅寻找字节组合并不能解决问题，该组合可能是某些“随机”数据的一部分。然后，跟踪 CALL 可能是最好的解决方案，因为函数不一定总是以相同的操作码序列开头。但即使是反汇编程序也可能会遇到困难，并被文本段中嵌入的数据弄糊涂。

即使您能够找到这些函数，如果没有调试符号，您也无法获得它们的名称（在编译后的程序中，不再需要名称，只需要地址）。

此外，您很难找出该函数接受什么类型的参数。例如，一个函数可能接受 2 个参数，但两者都不使用。在这种情况下，您需要进行函数调用，并在调用函数之前查看堆栈是如何准备的。

Answer 3

你必须寻找类似的东西：

push    ebp
mov     ebp, esp
sub     esp, ???

...
...

add    esp, ???
pop    ebp
ret