Ida Pro：使用Idapython解析复杂的操作数表达式

mov     [rsp+3F8h+var_3F8], 0

#1 楼

请注意，原始汇编指令可能是mov [rsp+4], 0（*）。这就是为什么idc.GetOperandValue返回4的原因。特别是对于使用了push和pop的较旧的编译器，rsp的值在函数执行期间变化很大。推后，现在的esp+8就是esp+12；弹出后，现在将是rsp+8。因此，在读取一段（普通）汇编代码时，很难跟踪何时访问哪个堆栈位置。

（最近已得到改进； x64 abis使用寄存器来传递参数，因此代码rsp和push不再那么多了，像pop这样的编译器会在堆栈上留出足够的空间，甚至直接将参数放置在相对于gcc的地址中，即使是32位，因此esp / esp不会再改变太多。许多旧的代码可以反转。）

为了改善这种情况，IDA将变量名称分配给堆栈位置，例如rsp。每当一条指令执行某些相对寻址时，IDA就会使用变量名称，并发出一个额外的偏移量以说明自函数启动以来对堆栈指针的更改。因此，如果您的原始代码看起来像

mov [rsp+8], rax
sub rsp, 128
mov [rsp+136], rbx
push rcx
mov [rsp+144], rdx

，则在每种情况下它都会访问相同的内存地址。 Ida将此转换为

mov [rsp+0+var_8], rax
sub rsp, 128
mov [rsp+128+var_8], rbx
push rcx
mov [rsp+136+var_8], rdx

但是，这些更改仅显示，它们不会更改您的二进制文件！获取操作数仍将返回var_3F8，sp和8，而不是ida向您显示的值。

如果要自动分析，可以跟踪堆栈指针的偏移量并进行调整相应地得出136的结果，否则您将不得不在144的输出上使用python字符串函数，丢弃中间部分，然后比较右侧部分（变量名称）。

（*）现在我想起来似乎有点奇怪，因为您显然使用的是64位，因为您的堆栈指针是GetOperandValue，这暗示了8字节对齐。

#2 楼

假设addr是mov [rsp+3F8h+var_3F8], 0的EA：

re.findall('\[(.*)\]', idc.GetDisasm(addr))[0].split('+')

产生列表

['rsp', '3F8h', 'var_3F8']