Alo*_*bel 5 x86 assembly ida disassembly
我正在分析 IDA 中的一些代码,但我无法弄清楚一些指令的用途。
该代码以标准函数前导码开头,它将 EBP 的当前值压入堆栈,然后将当前堆栈指针移入 EBP,以便稍后引用与其相关的参数和局部变量。
但随后,它将 ECX 压入堆栈。为什么?我认为没有任何东西作为函数的参数传递给它?
然后它将当前值从 ECX 移动到[ebp+var_4],这似乎是在上一条指令中已经推送到那里的 ECX 值:| 那有什么意义呢?
我的猜测是,它尝试在堆栈上为单个局部变量保留一些空间,var_4但是push ecx如果它已经包含 ECX 的当前值,为什么它会在下一条指令中将 ECX 的当前值移动到其中呢?:P
此外,尽管代码非常短,但我没有看到其中有任何地方可以使用此局部变量:/这似乎是完全无用的代码。这个特定的指令序列出现在其他几个函数中,恰好在它们的前导码中,所以我猜它是编译器生成的东西,但我无法弄清楚它的目的。
有任何想法吗?
; Attributes: bp-based frame
; int __stdcall CloseDevice(HANDLE hObject)
CloseDevice proc near
var_4= dword ptr -4
hObject= dword ptr 8
push ebp
mov ebp, esp
push ecx ; WTF?
mov [ebp+var_4], ecx ; WTF?
cmp [ebp+hObject], 0FFFFFFFFh
jz short loc_BE03C5
mov eax, [ebp+hObject]
push eax
call ds:CloseHandle
loc_BE03C5:
mov esp, ebp
pop esp
retn 4
CloseDevice endp