IDA sleduje hodnotu ukazatele zásobníku (ESP) během statické analýzy celé funkce. Největší záporná hodnota ESP (vzhledem k začátku funkce) se používá k určení velikosti rámce zásobníku.

Pokud jde o to, proč odeslané rámce zásobníku mají v horní části „nedefinované“ bajty, je to proto, že IDA nemohla automaticky určit, zda a jak byly tyto kompenzace zásobníku použity.

Všem moc děkuji za odpovědi a komentáře. Při čtení vašich komentářů a přípravě na aktualizaci mé otázky jsem našel odpověď.

Musím uznat Igor Skochinsky, který mě požádal o poskytnutí pokynů prologu funkcí. Obě funkce používají konvenci volání cdecl. Konvence volání však s touto vyrovnávací pamětí nemá nic společného. Takto vypadá prolog:

  push ebpmov ebp, espsub esp, <size místních vars>push ebxpush esipush edi  

Tato vyrovnávací paměť odráží tři push pokyny pro registry EBX, ESI, EDI. Tyto registry jsou kategorizovány jako Callee Saved Registers a tento „buffer“ se nazývá Non-Volatile Register Save Area .

V souladu s konvencí x86 (platí také pro x64) se registry dělí na registry uložené volajícím a registry uložené na Callee .

Registry volajícího jsou také známé jako těkavé registry. Jedná se o základní registry CPU, jako jsou EAX, EDX a ECX. Volací funkce (Caller) je zodpovědná za uložení těkavých registrů do obvykle běhového zásobníku před uskutečněním hovoru.

Registry uložené v databázi Callee jsou známé jako energeticky nezávislé registry. Jedná se o základní registry CPU, jako jsou EBX, ESI, EDI, ESP a EBP. Podle konvence se předpokládá, že hodnoty v těchto registrech budou zachovány volanou funkcí. V případě, že některý z energeticky nezávislých registrů bude použit v rámci volaného, ​​je volaný odpovědný za uložení registrů do běhového zásobníku. Kromě toho je volaný odpovědný za obnovení těchto registrů před návratem k funkci volajícího.

Způsob, jakým se používají volatilní a energeticky nezávislé registry, je spíše kompilátorem. Následující příspěvek Průvodce sestavením x86 popisuje pravidla volajícího a volaného podrobněji.

Screenshoty ukazují, že u zkoumáte podrobné zobrazení zásobníku IDA.

IDA pojmenuje každý bajt, ke kterému se přistupuje přímo ve funkci, všechny ostatní bajty zůstávají nedefinované.

Konference o volání? Dejte nám prolog a epilog tohoto podprogramu, abychom viděli, jak je zásobník přidělen a vyčištěn.

Takže pokud se jedná o rámec zásobníku normální aplikace napsaný v jazyce vysoké úrovně (ne malware ani napsaný) v sestavě ručně) a nevolání konkrétní konvence, pak si myslím, že můžeme souhlasit s tím, že kompilátor z nějakého důvodu přidělil více prostoru zásobníku, než tato funkce potřebuje.

Nemyslím si, že je „nutné“ vědět proč překladač to udělal, ale je to vaše volba.