2012-06-06

今天下载了Adobe Flash Media Server 的试用版,用PEID探测,没有壳。用IDA载入,相当的顺利。令我兴奋的是,它有很多代码与Adobe Flash Player是相同的,但是不同的是,Adobe Flash Media Server 编译的时候加RTTI了,于是看到类名的一刹那,瞬间揭开了我很多困惑。

class type_info中存储的字符串是decorate之后的名字,如.PAVblah@@,如何把这样的名字转换成原来的形式,貌似并不简单。vc自带一个undname命令,我试了,不好使。Windows SDK中有UnDecorateSymbolName这个API,我准备明天试试,先SymInitialize,然后UnDecorateSymbolName。有一个难点是,如何找到type_list的root。关于这个转换规则,在http://www.agner.org/optimize/calling_conventions.pdf 到是有很详细的描述。

此博客中的热门博文

少写代码,多读别人写的代码

在windows下使用llvm+clang

tensorflow distributed runtime初窥