IDA结构体怎么套用 IDA结构体字段大小不对怎么办

在IDA里，结构体用顺了，反汇编和伪代码会一下子清爽很多；用不顺，最常见的就是偏移全是数字，字段名出不来，或者明明已经建了结构体，成员大小还是一团乱。Hex-Rays官方文档把这两件事分得很清楚，一类是把结构体真正套到数据和操作数上，另一类是回到类型定义里把成员宽度和布局修正好。

一、IDA结构体怎么套用

这一步不要只做一半。结构体在IDA里常见有两种套法，一种是把一段数据声明成结构体变量，另一种是把指令里的立即数偏移改成结构体成员偏移。

1、先在【Local Types】里把结构体定义好

官方教程说明，先打开【Local Types】，按【Insert】新建结构体，再给成员补数据类型、字符串类型或直接用C语法编辑。结构体没先定义好，后面的套用动作都没法做。

2、整段数据要套结构体，用【Edit】【Structs】【Struct var...】

Hex-Rays文档写明，【Struct var...】就是把当前位置声明成某个结构体变量；如果是变长结构体，还要先选中一段区域，或者明确告诉IDA这段结构到底有多大。

3、指令里的偏移要套字段名，用【Edit】【Operand types】【Struct offset】

官方说明里，这个命令会把当前操作数改成结构体偏移表达式。如果光标在第一个操作数前面，就处理第一个操作数；否则处理后面的操作数。平时最常见的场景，就是把加减偏移改成类似字段名的显示。

4、字段在偏移零位置却没显示全名，就补一次【Force zero field offset】

IDA默认不一定显示零偏移成员名。官方文档专门给了【Force zero field offset】这个命令，用来强制把零偏移字段完整显示出来。

二、IDA结构体字段大小不对怎么办

字段大小不对时，别先急着反复套结构体。更多时候，问题不在套用动作，而在结构体定义本身，或者类型层级选错了，导致成员偏移和总长度一起跑偏。

1、先回【Local Types】检查成员类型

字段宽度本质上跟成员类型绑定。比如你本来想要8字节指针，却把成员保成了4字节整型，那后面的偏移自然会全错。官方教程也说明，成员类型需要在结构体定义阶段先写准。

2、分清你现在改的是C级类型还是汇编级类型

Hex-Rays文档说明，【Local Types】里的C级类型会自动计算成员偏移，必要时还会调整结构总大小；而汇编级类型的成员偏移是固定的，成员变大放不下时，IDA甚至会把它删掉。字段大小老是改不顺，很多时候就是这两类类型混用了。

3、字段一改就把后面成员顶乱，先看结构布局是不是固定了

官方类型文档提到，结构体可以启用固定布局。固定布局的作用，就是锁住结构大小和成员布局，避免你改别的成员时把整体排布一起带跑。做固件和协议结构时，这个选项通常更稳。

4、套上结构后字段还是不对，再检查偏移差值

【Struct offset】不是只选结构体名就结束，官方文档里还有一个【Offset delta】概念，用来表示指针值和结构体起始地址之间的差。要是你手头拿到的是中间字段地址，不是结构开头地址，这个差值不改，对出来的成员名就会整体错位。

三、IDA结构体先查哪几处

真到排查时，顺序比一通乱改更重要。先把下面几处看一遍，通常能更快判断问题到底出在定义、套用，还是显示方式。

1、先看结构体本身有没有定义完整

成员名、成员类型、数组长度、指针类型，只要有一处是临时凑的，后面字段大小和偏移就很难稳。

2、再看你套的是变量还是操作数

【Struct var...】是把一块数据声明成结构体变量，【Struct offset】是把某个操作数显示成结构体成员偏移。这两步用途不同，不能混着代替。

3、再看是不是联合体或零偏移显示问题

如果结构里带联合体，官方建议用【Select union member...】指定显示哪一个成员；如果是零偏移字段没显示全名，就用【Force zero field offset】。

4、最后再决定要不要重做类型

如果成员宽度、偏移和总长度已经乱成一片，最省时间的做法往往不是一项项补，而是回到【Local Types】把结构体按真实布局重建，再重新套一次。Hex-Rays的结构体教程本身就是按这个思路在讲。

总结

IDA结构体怎么套用，关键是把【Struct var...】和【Struct offset】分开用清楚。IDA结构体字段大小不对怎么办，重点也不是只盯着显示结果，而是回到【Local Types】检查成员类型、布局方式和偏移差值。顺着这个顺序处理，结构体一旦套准，后面的交叉引用、伪代码和函数理解都会轻松很多。