Почему в аргумент функции передается стэк?

Question

[ADKX]

Здравствуйте, я далек от ассемблера и с горем пополам разбираюсь в нем при помощи ida c гидрой. Так вот, все было хорошо, пока я не встретил подобный метод. Как так получается, что объект которому принадлежит метод является стэком.


Возможно это статическая функция, но как ее тогда вызывать с с++, если я не могу передать стэк

Answer 1

[galaxy]

Имхо, что здесь происходит:
на стеке лежит некоторый объект некоторого класса, вершина стека (esp) при этом является адресом этого объекта (т.е. this);
this передается в метод через регистр ecx (есть такое соглашение, регистр уже заботливо переименован в листинге);
также this сохраняется в какой-то стековой переменной;
туда же (в метод), но уже через стек, передается некий указатель на поле какого-то объекта.

Comments

[pfemidi]

this передается в метод через регистр ecx (есть такое соглашение, регистр уже заботливо переименован в листинге);

galaxy, вот за подобную "заботу" я лично авторов Гидры подвесил бы за одно место. В качестве параметров пусть переименовывают, но когда в ассемблерном листинге вместо того же ecx появляется this и чтобы узнать что this это именно ecx, а не какой другой регистр приходится мотать на начало функции и смотреть какому регистру соответствует this... Бесит. Но тут ещё ничего, функция короткая. А если функция на три-четыре экрана? И тот же ecx только один раз используется как this, а где-то ниже по коду компилятор решил его использовать как временное хранилище чего-то другого, но Гидра упорно продолжает обзывать его this? А переименовываешь его в это что-то другое, так Гидра тут же и сверху вместо this начинает писать это "что-то другое". Это очень, ОЧЕНЬ неудобно. В подобных случаях хочется плюнуть на эту Гидру и вернуться к старой доброй IDA, в которой подобного маразма не бывает. Останавливает лишь то, что IDA в отличии от Гидры весьма и весьма не бесплатен.

[galaxy]

pfemidi, считайте, что я тоже "заботливо" написал в кавычках)) сам залип, когда увидел

[ADKX]

Благодарю. Меня немного сбило с толку, что там вместо класса структура. Не сразу это выкупил

Answer 2

[freeExec]

Это локальная переменная, в которую вызванная функцию должна вернуть результат.

Comments

[ADKX]

Но в ecx разве не объект передается ?)

[pfemidi]

ADKX, не объект, а адрес объекта, как раз тот самый this.

Answer 3

[Mercury13]

Итак, на стеке лежит локальный объект, и так совпало, что его адрес совпадает с регистром esp. Стек на x86 растёт вниз, так что такое бывает.
Для этого объекта мы вызываем функцию с соглашением вызова cdecl thiscall и одним dword-параметром, предположительно указателем. Функция возвращает указатель/ссылку на объект — видимо для «текучего интерфейса».

Как я понял, вы подставным DLL или подобной дрянью хотите вызвать эту функцию, верно? Тогда в DLL пишем примерно такое.

#include <iostream>

class X
{
public:
    // Наделай полей — непонятно, какой нужен размер объекта, но минимум 7 dword
    uint32_t field0 = 0, field4 = 0, field8 = 0, fieldC = 0,
           field10 = 0, field14 = 0, field18 = 0;
    // Просто тестовая функция, тебе не нужна
    X& doSmth(void* param);
};


// Просто тестовая функция, тебе не нужна
X& X::doSmth(void* param)
{
    std::cout << "My address is " << this << std::endl;
    std::cout << "My param is " << param << std::endl;
    return *this;
}

// Известно, что параметр — указатель/ссылка, но какого типа — неизвестно.
// Пусть будет void*.
using PFunc = X& (X::*)(void*);

int main()
{    
    PFunc func = &X::doSmth;  // Тебе надо reinterpret_cast<PFunc>(0x471440)
    X x;
    auto param = reinterpret_cast<void*>(0x5678);  // Или придумай, чему должен равняться этот param
    (x.*func)(param);
    return 0;
}