C语言与汇编语言对照分析Word下载.docx
《C语言与汇编语言对照分析Word下载.docx》由会员分享,可在线阅读,更多相关《C语言与汇编语言对照分析Word下载.docx(16页珍藏版)》请在冰豆网上搜索。
c)
for、while
注:
文中使用的反汇编工具为IDA
一、
汇编代码:
if...else结构比较固定,通常包含cmp指令、jcc指令以及满足条件后执行的指令块。
if...else结构可以串联,串联后的if...else有明显的代码块边界,逆向工具通常可以将代码块标识出来(图中虚线)。
二、
1.
一个简单switch...case
上图显示了switch...case基本的结构:
跳转表达式;
分支代码;
跳转表
跳转表达式
其中loc_401235代码块对应switch...case中default分支。
当nGameEvent
>
4时,跳转到loc_401235代码块,即default分支。
<
=
4时,根据跳转表达式进行跳转:
jmp
ds:
off_40123C[nGameEvent*4]
其中off_40123C为跳转表地址,跳转表中每一项代表一个32位地址(4个字节),当nGameEvent为0按第一项地址跳转,当nGameEvent为1按第二项地址跳转,依次类推。
分支代码
各个分支的处理逻辑都在这里,示例代码中仅仅简单的调用对应函数。
(PS:
这里用jmp而不用call是编译器优化的结果)
跳转表实际是一个地址数组,存放了每个跳转分支的地址(32位绝对地址),当nGameEvent为0时,跳转表达式读取数组中第一项数据(0x0040121C),即
.text:
0040121C
E9
8F
FF
FF+
?
DoLogin@@YAXXZ
调用DoLogin函数。
(PS:
实际运行时,由于随机化基址,从调试器看到的跳转表内容可能与静态分析时不同,这是重定位引起的,关于重定位的原理可以参考相关文档,这里不再详述)
2.
不连续的switch...case
上面的示例中case的值是连续的,因此跳转表比较规则。
在实际使用中可能会遇到不规则的case值,如下图:
上面的代码有两个特点:
i.
最小case值非0
上图中最小case值为3,为了不浪费跳转表空间,编译器会将索引值减去3保证最小的case值对应跳转表中的第一项。
ii.
case值不连续
编译器会在跳转表间隔中插入default跳转,保证逻辑正确。
(以空间换取时间)
3.
双重跳转表
相对于前一个示例,此处case值间隔更大。
如果按照之前的方法,跳转表的大小需要(110-30
+
1)*
4
324字节,占用内存空间大。
编译器为了节省空间,使用了双重跳转:
跳转表、间接跳转表。
其中跳转表与之前介绍的跳转表一致,而间接跳转表保存的不是分支地址,而是索引值,指向跳转表中的索引。
跳转表:
间接跳转表:
在进入switch...case时,先算根据间接跳转表获得索引号,再根据索引号查找跳转表,获取实际分支地址。
使用双重跳转表后,实际占用空间:
5*4
+(110
–
30
1)=
101字节,大大减少空间占用。
4.
swtich...case退化
当case值间隔过大,使用跳转表、双重跳转表消耗的空间太大,编译器会将switch...case退化为if...else,如下图:
这里没有跳转表结构,只剩下cmp/jcc指令,可见编译器已经将swtich...case转换为等价的if...else。
但在转换过程中,编译还是做了力所能及的优化:
通过二叉查找法加快跳转分支的查找。
5.
嵌套switch...case
可以看出嵌套的switch...case结构在汇编代码上是相对独立的,外层和内层switch结构有各自的跳转表。
外层跳转表:
内存跳转表(双重跳转表):
根据跳转表中的地址项,也可以清楚的区分外层和内层的跳转分支。
三、
循环语句
for循环
其中nop
dword
ptr[eax+00h]
为指令对齐,没有实际意义。
循环的汇编实现为:
while循环
ptr[eax+eax+00h]
从上面可以看出,for和while结构的汇编实现几乎一摸一样,仅仅是使用的寄存器有些区别。
实际逆向过程中将循环映射为for或者while结构都是可以的。
同时还可以看出,循环有个明显的特征:
往回跳转(向地址小的方向跳转),大部分情况下遇到往回跳转的指令就是循环,极少数如编译器代码结构优化生成的往回跳转不是循环除外。
四、
总结
语法结构对应的汇编代码与编译器有很大关系,同一份源代码不同编译器生成的汇编代码结构不一样;
即使是同一个编译器,不同的编译选项生成的汇编代码结构也不尽相同。
需要在逆向过程中慢慢熟悉编译器的特性。
升级会员 