版权声明:随意转载,需注明出处。by think_ycx https://blog.csdn.net/think_ycx/article/details/84654526
binary来自HITCON2014的stkof,反汇编其中的create函数时,发现printf函数的第三个参数识别错了。
虽然printf的%d没有用到第三个参数,但是按理来说,64位程序的参数传递顺序为:rdi rsi rdx rcx r8 r9,第三个参数rdx实际上是[rbp-0x78],也就是rax,也就是malloc的返回值。但是IDA F5插件将其识别为调用malloc的参数,也就是size。比较有意思,不太能理解,暂且记录。
