IDA使用技巧：位域（Bitfields）

McSafe

    有一种特殊的枚举类型：位域。位域是一种被分割成位组的枚举。当你在位域中定义一个新的符号常量时，你需要指定这个常量所属的组。默认情况下，IDA（Interactive Disassembler，交互式反汇编器）建议每个组包含一个位。如果某个组尚未定义，那么在定义该组中的第一个常量时，它会自动被创建。例如：

name    CONST1
value   0x1
mask    0x1
复制代码

    将定义一个名为 CONST1 的常量，其值为 1，并会创建一个仅包含一个位的组。
    现在，让我们考虑以下更复杂的定义如下所示：

 #define OOF_SIGNMASK    0x0003
 #define   OOFS_IFSIGN   0x0000
 #define   OOFS_NOSIGN   0x0001
 #define   OOFS_NEEDSIGN 0x0002
 #define OOF_SIGNED      0x0004
 #define OOF_NUMBER      0x0008
 #define OOF_WIDTHMASK   0x0030
 #define   OOFW_IMM      0x0000
 #define   OOFW_16       0x0010
 #define   OOFW_32       0x0020
 #define   OOFW_8        0x0030
 #define OOF_ADDR        0x0040
 #define OOF_OUTER       0x0080
 #define OOF_ZSTROFF     0x0100
复制代码

    我们对其进行描述如下：

   name           value    mask   maskname

   OOFS_IFSIGN   0x0000   0x0003 OOF_SIGNMASK
   OOFS_NOSIGN   0x0001   0x0003 OOF_SIGNMASK
   OOFS_NEEDSIGN 0x0002   0x0003 OOF_SIGNMASK
 OOF_SIGNED      0x0004   0x0004
 OOF_NUMBER      0x0008   0x0008
   OOFW_IMM      0x0000   0x0030 OOF_WIDTHMASK
   OOFW_16       0x0010   0x0030 OOF_WIDTHMASK
   OOFW_32       0x0020   0x0030 OOF_WIDTHMASK
   OOFW_8        0x0030   0x0030 OOF_WIDTHMASK
 OOF_ADDR        0x0040   0x0040
 OOF_OUTER       0x0080   0x0080
 OOF_ZSTROFF     0x0100   0x0100
复制代码

    如果掩码由多个位组成，它可以有一个名称和注释。在定义具有掩码的常量时，可以设置掩码名称。IDA 会以不同的颜色显示掩码名称。
    为了在程序中使用位域，只需将指令操作数转换为枚举即可。IDA 将以如下方式显示操作数，
    例如，原始指令：

mov     ax, 70h
复制代码

   将被替换为使用位域常量的形式：

mov     ax, OOFS_IFSIGN or OOFW_8 or OOF_ADDR
复制代码

使用教程
    假设源代码看起来像这样：

void out_operand(int opnum, int flags);

// 'flags' parameter is combination of the following bits:
// (don't use OOF_SIGNMASK and OOF_WIDTHMASK, they are for the kernel)

#define OOF_SIGNMASK  0x0003      // sign output:
#define   OOFS_IFSIGN       0x0000      //   output sign if needed
#define   OOFS_NOSIGN     0x0001      //   should not out sign     ()
#define   OOFS_NEEDSIGN 0x0002      //   always out sign         (+-)
#define OOF_SIGNED        0x0004      // output as signed if 


// This function output the first 2 operands of instruction
void out_operands(void)
{
    // the first operand is a signed value
    out_operand(0, OOFS_IFSIGN|OOF_SIGNED|OOFW_IMM);
    // the first operand is a unsigned 32bit address
    out_operand(1, OOFS_NOSIGN|OOF_ADDR|OOFW_32);
}
复制代码

    我们有一个像这样的反汇编代码：

    现在，让我们通过使用位域来改进它。我们首先打开一个枚举窗口（菜单 View|Enumerations），在那里我们按 Ins 键创建一个新对象，并将其设置为位域。位域的名称不太重要。我们按 Ctrl-N 来定义位域的值。

    第一个位域掩码是 3（或 2 位）。掩码的名称不被 IDA 使用，它只是作为一个记忆辅助工具。在这个字段可以取的 4 个值中，我们只定义了第一个值，0，并给它分配了一个名称：OOFS_IFSIGN。如果我们想在该字段的范围内定义其他值，我们只需要重复这个过程。加上一些注释，定义就变成了

    我们切换到反汇编窗口（或按 Alt-F3 关闭枚举窗口）。通过 Edit|Operand types|Enum member 菜单，我们选择刚刚定义的枚举类型，并得到这样的结果：