Смещение по структуре и преобразование

[coNsept]

Здравствуйте самые Уважаемые форумчане всей планеты. Не давно занялся вплотную дизассемблированием PE приложений, получается вроде ничего но сталкиваются иногда такие моменты которые не подвластны моим мозгам.

Например, один из следующих вариантов.

MyObj - это указатель на некую огромную структуру размером почти в 10к байт.
Обычно мне встречались простые конструкции которые выплевывала IDA но с ними все понятно, смещаемся по структуре до поля равным байту 500 и получаем значение.

Код:

DWORD var = *(DWORD*)(MyObj + 500);

Но что происходит здесь? Забыл уточнить что в структуре хранятся не только стандартные типы но и пользовательские тоже.

Код:

v10 = **(_DWORD **)(MyObj + 1076) >> 16;
 v11 = **(_WORD **)(MyObj + 1076);

Как это так мы смещаемся по структуре и потом еще и сдвигаемся вправо на 16 позиций этож слишком жетско... не?

[pproger]

Цитата:

Обычно мне встречались простые конструкции которые выплевывала IDA но с ними все понятно, смещаемся по структуре до поля равным байту 500 и получаем значение.

Цитата:

MyObj - это указатель на некую огромную структуру размером почти в 10к байт.

если это так, то

Код:

DWORD var = *(DWORD*)(MyObj + 500);

взять DWORD из 500-ой структуры, а не из 500-го байта (если указатель конечно типизированный)

Код:

v10 = **(_DWORD **)(MyObj + 1076) >> 16;

тут уже по-видимому MyObj - указатель на указатель на струкруту. опять же берем DWORD из 1076 структуры, отбрасывая 2 младших байта

если указатель не типизированный, тогда еще проще. значит по такому то смещению лежит указатель на указатель на DWORD (либо любой другой двойной указатель, но берем sizeof(DWORD))

[coNsept]

Скорее всего это указатель на указатель на DWORD. v10 как раз идет типа WORD поэтому скорее всего и отбрасывается 2 младших байта. Спасибо pproger навел на мысли.

Код:

unsigned short wVal = MyObj->ToObj->m_dwField >> 16; // Как-то так наверное