定位可變位置中裝配

Question

從下面的反彙編代碼我可以假定位置43E010是保持串（如在彙編代碼的註釋）的變量的一個位置：

拆卸：

... 
push offset loc_43E010 
... 
push offset aAllYourBaseAre ; "all your base are belong to us" 
... 
.rdata:00446074 aAllYourBaseAre db 'all your base are belong to us',0 

這是一個Win32應用程序反彙編代碼看起來像這樣：

class Foo { 
public: 
    string mystring;  
    __declspec(dllexport) void foo(); 
}; 

void Foo::foo(){ 

    printf("foo called"); 

} 

int _tmain(int argc, _TCHAR* argv[]) 
{ 
    Foo foo; 
    foo.mystring = "all your base are belong to us"; 

    return 0; 
} 

這個指令：push offset loc_43E010是否顯示地址43E010是從win32可執行文件的基本映像的偏移量，並且它是一個可變位置？

Answer 1

我會調用我的精神力量（HI雷蒙德！），並會胡亂猜測，你看到的是這樣的：

push ebp 
mov  ebp, esp 
push 0FFFFFFFFh 
push offset loc_43E010 
mov  eax, large fs:0 
push eax 
... 
mov  large fs:0, eax 

這是一個功能的一個典型的序言中，使用異常處理。在你的情況下，即使沒有try/catch語句，也存在一個具有非平凡析構函數的局部變量，在傳播異常的情況下需要調用該變量。 loc_43E010是該函數的異常處理程序的標籤。

因此，答案是：不，它是而不是「可變位置」。

要了解有關Win32（SEH和C++）中的異常的更多信息，請檢查my OpenRCE article。