我能想到的唯一方法是通过函数并检查所有对EBP
.
在函数序言中,您通常会看到:
push ebp
mov ebp, esp
sub esp,n
这是设置新函数堆栈框架的地方。看起来有点像这样
EBP+n -> arg n
...
EBP+8 -> arg 0
return address
EBP -> stack address
EBP-4 -> local var 0
...
EBP-n -> local var n
ESP ->
EBP + (n>=8)
您可以通过检查给定函数中的所有引用来获取参数的数量。
现在,您可以检查函数调用之前的推送指令的数量,但不能保证该函数不会引用堆栈的其他部分。
IDA在计算函数参数方面做得很好。我建议你试一试!你会看到这样的东西:
.text:00022042 ; int __stdcall sub_22042(USHORT, char, char)
.text:00022042 sub_22042 proc near ; CODE XREF: sub_21DC4+73p
.text:00022042 ; sub_22524+37p
.text:00022042
.text:00022042 arg_0= word ptr 8
.text:00022042 arg_4= byte ptr 0Ch
.text:00022042 arg_8= byte ptr 10h
.text:00022042
.text:00022042 8B FF mov edi, edi
.text:00022044 55 push ebp
...