我一直在Ghidra中摆弄一个程序,我遇到了这四行代码.我发现了一些关于CONCAT11的东西,它表示两个单字节操作数之间的连接,但我不理解输入user_input._2_1_和(undefined)user_input的哪部分表示.
C:中的代码
read(0,&user_input,5);
uVar1 = user_input;
uVar2 = user_input._1_1_;
local_16._0_2_ = CONCAT11(user_input._2_1_,(undefined)user_input);
100
对字节x和y执行( ((uint16_t)x) << 8 ) | (uint8_t)y.
100
user_input是一个变量.你可以对它使用.运算符,这一事实使它成为某种 struct ._2_1_将是它的一个油田.显然,这是一个生成的名字.我假设这两个数字是一个偏移量和一个大小.因此,它将是在 struct 的第三个字节找到的一个字节的字段.
100
我不认为这是有效的代码.
我们知道将为CONCAT11提供一个字节.因此(undefined)user_input必须引用读取字节的操作.该字节必须肯定是user_input的第一个字节.因此,这将使它成为user_input._0_1_的参考.
嗯,它可能是多字节字段(*(char*)&user_input._0_?_)的第一个字节,但这似乎不太可能.
我认为使用(undefined)是因为缺乏解决这种模棱两可的问题所需的信息.
这一切都是猜测.