Cómo ver nombres de funciones y parámetros en una DLL

El nombre de la función es muy simple y la tabla de exportación está escrita claramente y puede leerse con cualquier herramienta de visualización de DLL, como CFF Explorer. Pero para los parámetros, como se mencionó anteriormente, no se puede ver su tipo de datos real (es decir, tipo de datos abstractos en lenguaje de alto nivel). Debido a que se ha compilado en ensamblador, ya no hay abstracción, en este punto solo se conoce el tamaño de los datos.

Pero eso no significa que no haya manera. Hay un software llamado IDA específicamente para análisis estático que puede descompilar el ensamblaje en pseudocódigo C para que pueda tener una idea aproximada de lo que entra y lo que sale. Si conoce la función de la función, siempre que no sea demasiado complicada, analizar el tipo de parámetro no es un gran problema.

El efecto de la descompilación IDA es aproximadamente el siguiente: void __fastcall Function(__int64 a1, __int64 *a2, int a3, _QWORD *a4). Aquí solo se copia una declaración, pero como puede ver, es más fácil de leer que el oscuro ensamblaje. Tenga en cuenta que los tipos de datos escritos anteriormente solo se pueden utilizar como referencia, ya que el software también los infiere en función del comportamiento del código.