程序_取数据大小、程序_取数据成员数、程序_取变量类型...

小风明SS · 发表于 2022-1-3 15:35:09

子程序名	返回值类型	公开	备注
程序_取数据大小	整数型		常用于Windows Api结构体中的cbsize成员，它总是固定的(小风明SS)
参数名	类型	参考	可空	数组	备注
数据	整数型				传入指针

变量名	类型	静态	数组	备注
a	整数型

‘小风明SS
RtlMoveMemory (取指针_通用型 (a), 数据, 4)
返回 (LocalSize (a))

子程序名	返回值类型	公开	备注
程序_取数据成员数	整数型		常用于Windows Api结构易语言中为4字节对齐(小风明SS)
参数名	类型	参考	可空	数组	备注
数据	整数型				传入指针

变量名	类型	静态	数组	备注
a	整数型

‘小风明SS
RtlMoveMemory (取指针_通用型 (a), 数据, 4)
返回 (LocalSize (a) ÷ 4)

子程序名	返回值类型	公开	备注
程序_取变量类型	整数型		返回变量的实际类型，注：该子程序判断不是很准确(返回值：0.自定义类型 1.数值类型 2.文本型 3.字节集 4.数组 5.子程序指针)
参数名	类型	参考	可空	数组	备注
变量	通用型				自定义类型和子程序指针判断的比较准确，因为内存中特征较多

变量名	类型	静态	数组	备注
m	整数型
c	整数型

置入代码 ({ 139, 69, 8, 137, 69, 252, 80 })
' mov eax, dword [ebp+0x08]
' mov dword [ebp-0x04], eax
' push eax

如果真 (IsBadReadPtr (m, 4))

返回 (1)
置入代码 ({ 88, 139, 0, 137, 69, 248 })
' pop eax
' mov eax, dword [eax]
' mov dword [ebp-0x08], eax

如果真 (c ≠ 1)

c ＝ GlobalSize (m)

如果真 (c ＝ 0)

置入代码 ({ 139, 69, 252, 139, 0, 129, 224, 255, 255, 255, 0, 137, 69, 248 })

' mov eax, dword [ebp-0x04]

' mov eax, dword [eax]

' and eax, 0x00FFFFFF

' mov dword [ebp-0x08], eax

返回 (选择 (c ＝ 5461846 或 c ＝ 15042901, 5, 2))

返回 (0)
c ＝ GlobalSize (m)

如果真 (c ≠ 0)

置入代码 ({ 139, 69, 252, 139, 64, 4, 137, 69, 252 })

' mov eax, dword [ebp-0x04]

' mov eax, dword [eax+0x04]

' mov dword [ebp-0x04], eax

c ＝ c － 8

返回 (选择 (m ＝ c, 3, 4))
返回 (3)

子程序名	返回值类型	公开	备注
强制转换	整数型		返回目的变量原数据地址。本质是将源数据的值写入目标变量，源数据不是基本类型的时候就是传指针了（注意如果源数据与目标变量类型不能兼容的话，程序就会崩溃）
参数名	类型	参考	可空	数组	备注
转换到的变量	通用型
欲转换的变量	通用型

置入代码 ({ 139, 69, 8, 255, 48, 255, 117, 12, 143, 0, 88, 201, 194, 4, 0 })
' mov eax, dword [ebp+0x08]
' push dword [eax]
' push dword [ebp+0x0C]
' pop dword [eax]
' pop eax
' leave
' retn 0x0004
返回 (0)

子程序名	返回值类型	公开	备注
程序_调试输出			本命令仅在易程序的调试版本中被执行，在发布版本中将被直接跳过。类似于易语言核心库中的“输出调试文本()”命令，向输出面板输出一行调试文本。本命令可接受任意通用型(整数,文本,字节集,子程序指针)参数，形如：“字节集:n{101,121,117,121,97,110,...}”，其中n为字节集长度，{}之间为字节集数据。
参数名	类型	参考	可空	数组	备注
输出内容	通用型

变量名	类型	静态	数组	备注
type	整数型
int	整数型
string	文本型
binary	字节集

如果真 (IsDebuggerPresent () ＝假)

返回 ()
type ＝程序_取变量类型 (输出内容)

判断 (type ＝ 0)

输出调试文本 (“(自定义数据类型” ＋ “|成员数:” ＋到文本 (程序_取数据成员数 (取指针_通用型 (输出内容))) ＋ “)”)

判断 (type ＝ 1)

强制转换 (int, 输出内容)

输出调试文本 (int)

判断 (type ＝ 2)

强制转换 (string, 输出内容)

如果 (到字节集 (string) ＝ { 80, 254, 25 })

输出调试文本 (“(空)”)

输出调试文本 ( #左引号＋ string ＋ #右引号 )

判断 (type ＝ 3 或 type ＝ 4)

强制转换 (binary, 输出内容)

输出调试文本 (“数组:” ＋到文本 (取字节集长度 (binary)) ＋字节集_字节集转文本 (binary))
' 未被实际使用

判断 (type ＝ 5)

强制转换 (int, 输出内容)

输出调试文本 (“(子程序指针:” ＋到文本 (int) ＋ “)”)

输出调试文本 (“(?未知?)”)

.版本 2<br />
<br />
.子程序 程序_取数据大小, 整数型, 公开, 常用于Windows Api结构体中的cbsize成员，它总是固定的(小风明SS)<br />
.参数 数据, 整数型, , 传入指针<br />
.局部变量 a, 整数型<br />
‘小风明SS<br />
RtlMoveMemory (取指针_通用型 (a), 数据, 4)<br />
返回 (LocalSize (a))<br />
.子程序 程序_取数据成员数, 整数型, 公开, 常用于Windows Api结构易语言中为4字节对齐(小风明SS)<br />
.参数 数据, 整数型, , 传入指针<br />
.局部变量 a, 整数型<br />
‘小风明SS<br />
RtlMoveMemory (取指针_通用型 (a), 数据, 4)<br />
返回 (LocalSize (a) ÷ 4)<br />
<br />
.子程序 程序_取变量类型, 整数型, 公开, 返回变量的实际类型，注：该子程序判断不是很准确(返回值：0.自定义类型 1.数值类型 2.文本型 3.字节集 4.数组 5.子程序指针)<br />
.参数 变量, 通用型, , 自定义类型和子程序指针判断的比较准确，因为内存中特征较多<br />
.局部变量 m, 整数型<br />
.局部变量 c, 整数型<br />
<br />
置入代码 ({ 139, 69, 8, 137, 69, 252, 80 })<br />
' mov eax, dword [ebp+0x08]<br />
' mov dword [ebp-0x04], eax<br />
' push eax<br />
.如果真 (IsBadReadPtr (m, 4))<br />
    返回 (1)<br />
.如果真结束<br />
置入代码 ({ 88, 139, 0, 137, 69, 248 })<br />
' pop eax<br />
' mov eax, dword [eax]<br />
' mov dword [ebp-0x08], eax<br />
.如果真 (c ≠ 1)<br />
    c ＝ GlobalSize (m)<br />
    .如果真 (c ＝ 0)<br />
        置入代码 ({ 139, 69, 252, 139, 0, 129, 224, 255, 255, 255, 0, 137, 69, 248 })<br />
        ' mov eax, dword [ebp-0x04]<br />
        ' mov eax, dword [eax]<br />
        ' and eax, 0x00FFFFFF<br />
        ' mov dword [ebp-0x08], eax<br />
        返回 (选择 (c ＝ 5461846 或 c ＝ 15042901, 5, 2))<br />
    .如果真结束<br />
    返回 (0)<br />
.如果真结束<br />
c ＝ GlobalSize (m)<br />
.如果真 (c ≠ 0)<br />
    置入代码 ({ 139, 69, 252, 139, 64, 4, 137, 69, 252 })<br />
    ' mov eax, dword [ebp-0x04]<br />
    ' mov eax, dword [eax+0x04]<br />
    ' mov dword [ebp-0x04], eax<br />
    c ＝ c － 8<br />
    返回 (选择 (m ＝ c, 3, 4))<br />
.如果真结束<br />
返回 (3)<br />
<br />
<br />
.子程序 强制转换, 整数型, 公开, 返回目的变量原数据地址。本质是将源数据的值写入目标变量，源数据不是基本类型的时候就是传指针了（注意如果源数据与目标变量类型不能兼容的话，程序就会崩溃）<br />
.参数 转换到的变量, 通用型, 参考<br />
.参数 欲转换的变量, 通用型<br />
<br />
置入代码 ({ 139, 69, 8, 255, 48, 255, 117, 12, 143, 0, 88, 201, 194, 4, 0 })<br />
' mov eax, dword [ebp+0x08]<br />
' push dword [eax]<br />
' push dword [ebp+0x0C]<br />
' pop dword [eax]<br />
' pop eax<br />
' leave<br />
' retn 0x0004<br />
返回 (0)<br />
<br />
<br />
<br />
.子程序 程序_调试输出, , 公开, 本命令仅在易程序的调试版本中被执行，在发布版本中将被直接跳过。类似于易语言核心库中的“输出调试文本()”命令，向输出面板输出一行调试文本。本命令可接受任意通用型(整数,文本,字节集,子程序指针)参数，形如：“字节集:n{101,121,117,121,97,110,...}”，其中n为字节集长度，{}之间为字节集数据。<br />
.参数 输出内容, 通用型, 可空<br />
.局部变量 type, 整数型<br />
.局部变量 int, 整数型<br />
.局部变量 string, 文本型<br />
.局部变量 binary, 字节集<br />
<br />
.如果真 (IsDebuggerPresent () ＝ 假)<br />
    返回 ()<br />
.如果真结束<br />
type ＝ 程序_取变量类型 (输出内容)<br />
.判断开始 (type ＝ 0)<br />
    输出调试文本 (“(自定义数据类型” ＋ “|成员数:” ＋ 到文本 (程序_取数据成员数 (取指针_通用型  (输出内容))) ＋ “)”)<br />
.判断 (type ＝ 1)<br />
    强制转换 (int, 输出内容)<br />
    输出调试文本 (int)<br />
.判断 (type ＝ 2)<br />
    强制转换 (string, 输出内容)<br />
    .如果 (到字节集 (string) ＝ { 80, 254, 25 })<br />
        输出调试文本 (“(空)”)<br />
    .否则<br />
        输出调试文本 (#左引号 ＋ string ＋ #右引号)<br />
    .如果结束<br />
<br />
.判断 (type ＝ 3 或 type ＝ 4)<br />
    强制转换 (binary, 输出内容)<br />
    输出调试文本 (“数组:” ＋ 到文本 (取字节集长度 (binary)) ＋ 字节集_字节集转文本 (binary))<br />
'未被实际使用<br />
.判断 (type ＝ 5)<br />
    强制转换 (int, 输出内容)<br />
    输出调试文本 (“(子程序指针:” ＋ 到文本 (int) ＋ “)”)<br />
.默认<br />
    输出调试文本 (“(?未知?)”)<br />
.判断结束

注：通用型使用较多，请粘贴时注意转换

aa282055202 · 发表于 2023-9-28 11:59:34

1111111111111111111

欸嘿 · 发表于 2022-5-7 22:19:06

#在这里快速回复#666666666666666666666

福仔 · 发表于 2022-1-3 22:34:06

htpidk 发表于 2022-1-3 16:16
他的RtlMoveMemory这个API的第二个参数应该是参考的，所以RtlMoveMemory (取指针_通用型 (a), 数据, 4) ...

要是第二个参数是参考的话, 那确实可以跑, 如果第二个参数不是参考的话, 那a就是 cbSize了....
一般cbSize不会大于0xFFFF, 一般小于0x8000的都不会被当成一个地址

福仔 · 发表于 2022-1-3 22:32:41

1185384801 发表于 2022-1-3 16:21
实际上RtlMoveMemory+LocalSize这种写法我之前也用过，但是后来我发现这东西有坑，在计算嵌套数据类型的 ...

易语言里所有的数据类型, 只要不是数值型, 逻辑型, 日期时间, 子程序指针其他都是存放指针
所以你嵌套的那个成员只占用4个字节, 不管这个结构有多少个成员
数组也是占用4个字节, 反正不是基础数据类型的, 都是4个字节

小风明SS · 发表于 2022-1-3 20:58:25

sinewtec 发表于 2022-1-3 17:54
程序_取变量类型在某种情况下是不准确的！慎用。

是的已经注明

sinewtec · 发表于 2022-1-3 17:54:50

程序_取变量类型在某种情况下是不准确的！慎用。

1185384801 · 发表于 2022-1-3 16:23:55

第一个命令这样使用其实是有坑的，不建议这样玩

1185384801 · 发表于 2022-1-3 16:21:04

福仔发表于 2022-1-3 15:47
第一第二个是什么鬼?
如果说是读cbSize的话, RtlMoveMemory 就已经读到了啊, 为什么还要用 LocalSize?
你要 ...

实际上RtlMoveMemory+LocalSize这种写法我之前也用过，但是后来我发现这东西有坑，在计算嵌套数据类型的时候算出来的结果是错的

同学麻烦让让 · 发表于 2022-1-3 16:16:49

福仔发表于 2022-1-3 15:47
第一第二个是什么鬼?
如果说是读cbSize的话, RtlMoveMemory 就已经读到了啊, 为什么还要用 LocalSize?
你要 ...

他的RtlMoveMemory这个API的第二个参数应该是参考的，所以RtlMoveMemory (取指针_通用型 (a), 数据, 4) 后a=数据，也就是a是结构体的指针，localsize(a)可以取到结构体大小，不过既然这样用localsize(数据)不是更好，看不到他的API声明只能这样去推测。

福仔 · 发表于 2022-1-3 15:47:15

第一第二个是什么鬼?
如果说是读cbSize的话, RtlMoveMemory 就已经读到了啊, 为什么还要用 LocalSize?
你要是这么写的话, 那传递进去的指针, 第一个成员必须是指针了, 不然LocalSize不是要返回0?

RtlMoveMemory (取指针_通用型 (a), 数据, 4)
返回 (LocalSize (a))

比如我要传递 PROCESSENTRY32 这个结构的指针进去
那 RtlMoveMemory (取指针_通用型 (a), 数据, 4) 执行这一句代码之后, a = cbSize, W版的话是586个字节
那返回 (LocalSize (a)) 这个翻译过来不就是返回 (LocalSize (586)), 这个不是会返回0?

没拿来跑, 只是心算了一下, 如果有说错的地方, 欢迎提出

		自动登录	找回密码
密码			注册

[已回应] 程序_取数据大小、程序_取数据成员数、程序_取变量类型...

评分

点评

点评