reverse_xiaoyu

忘记并不可怕,可怕的是你从来就都不知道!

  博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

if语句的反汇编判断

  if语句的反汇编判断基本是围绕JCC指令的,如果想要有深刻的理解,可以自行练习JCC指令

  执行各类影响标志位的指令
  jxx xxxx
  1、案例一
  mov eax,dword ptr [ebp+8]        分析:cmp指令 影响标志位
  cmp eax,dword ptr [ebp+0Ch]         jle :小于或者等于就跳转到00401059
  jle 00401059

  2、案例二
  mov eax,dword ptr [ebp+8]        分析:cmp指令 影响标志位
  cmp eax,dword ptr [ebp+0Ch]         jl :小于则跳转
  jl 00401059

  3、案例三
  mov eax,dword ptr [ebp+8]       jge :大于或者等于则跳转
  cmp eax,dword ptr [ebp+0Ch]
  jge 00401059

  4、案例四
  mov eax,dword ptr [ebp+8]       jg :大于则跳转
  cmp eax,dword ptr [ebp+0Ch]
  jg 00401059

  仅列举少许,有兴趣可以尝试全部的JCC指令,以便加深理解

案例分析

  在分析if语句时,我们得先有一个整体概念,即在函数调用前,先分析大段,如下:

  函数调用处代码:

  push 5          分析:
  push 4          两个参数
  call 0040100f
  add esp,8

  分析第一个实例:

 1 00401030   push        ebp                    
 2 00401031   mov         ebp,esp                    
 3 00401033   sub         esp,40h                    
 4 00401036   push        ebx                    
 5 00401037   push        esi                    
 6 00401038   push        edi                    
 7 00401039   lea         edi,[ebp-40h]                    
 8 0040103C   mov         ecx,10h                    
 9 00401041   mov         eax,0CCCCCCCCh                    
10 00401046   rep stos    dword ptr [edi]                    
11 00401048   mov         eax,dword ptr [ebp+8]                    
12 0040104B   cmp         eax,dword ptr [ebp+0Ch]                    
13 0040104E   jle         00401059                    
14 00401050   mov         ecx,dword ptr [ebp+8]                    
15 00401053   mov         dword ptr [004225c4],ecx                    
16 00401059   pop         edi                    
17 0040105A   pop         esi                    
18 0040105B   pop         ebx                    
19 0040105C   mov         esp,ebp                    
20 0040105E   pop         ebp                    
21 0040105F   ret

 

  我在Excel中将其用颜色标注,上下两段颜色一样的,我们可以不用看,之前有过探究,开辟堆栈所进行的一系列操作,实际功能块就是中间紫色那块

          

   我们的分析过程可大致分为下面五个步骤:

  函数内部功能分析:

  1、分析参数:
  [ebp+8] : X [ebp+0Ch] :Y

  2、分析局部变量
  无

  3、分析全局变量
  mov dword ptr 004225c4,ecx

  4、功能分析
  mov eax,dword ptr [ebp+8]
  cmp eax,dword ptr [ebp+0Ch]

  将参数X存到到EAX中,然后比较EAX,与参数Y的大小
  如果X<=Y 那么跳转到00401059的位置

  否则,将X的值存储到全局变量中

  5、返回值分析
  无

 

  分析第二个实例:

  调用处代码:

  push 5
  push 4
  call 0040100f
  add esp,8

  函数内部:

 1 00401030   push        ebp                    
 2 00401031   mov         ebp,esp                    
 3 00401033   sub         esp,44h                    
 4 00401036   push        ebx                    
 5 00401037   push        esi                    
 6 00401038   push        edi                    
 7 00401039   lea         edi,[ebp-44h]                    
 8 0040103C   mov         ecx,11h                    
 9 00401041   mov         eax,0CCCCCCCCh                    
10 00401046   rep stos    dword ptr [edi]                    
11 00401048   mov         eax,[004225c4]                    
12 0040104D   mov         dword ptr [ebp-4],eax                    
13 00401050   mov         ecx,dword ptr [ebp+8]                    
14 00401053   cmp         ecx,dword ptr [ebp+0Ch]                    
15 00401056   jg          00401064                    
16 00401058   mov         edx,dword ptr [ebp+0Ch]                    
17 0040105B   add         edx,dword ptr [ebp-4]                    
18 0040105E   mov         dword ptr [004225c4],edx                    
19 00401064   pop         edi                    
20 00401065   pop         esi                    
21 00401066   pop         ebx                    
22 00401067   mov         esp,ebp                    
23 00401069   pop         ebp                    
24 0040106A   ret

  我还是在Excel中标注一下颜色:

         

  函数内部功能分析:

  1、分析参数:
  Y: ebp+8     Z: ebp+c

  2、分析局部变量
  A:ebp-4

  3、分析全局变量
  Global:dword ptr [004225c4],edx

  4、功能分析

  a、00401048 mov eax,[004225c4]
  0040104D mov dword ptr [ebp-4],eax
  A = Global


  b、00401050 mov ecx,dword ptr [ebp+8]
  00401053 cmp ecx,dword ptr [ebp+0Ch]
  参数Y与Z比较大小


  c、00401056 jg 00401064
  如果Y比Z大,则跳转至0x00401064,否则程序走下一步


  d、00401058 mov edx,dword ptr [ebp+0Ch]
  0040105B add edx,dword ptr [ebp-4]
  0040105E mov dword ptr [004225c4],edx
  到这一步,说明Y小于等于Z,将Z与A相加,并把相加的值赋给Global

  5、返回值分析
  无
  6、还原成C函数

1 int Global;
2 void function(int Z, int Y)        
3 {
4     int A = Global;
5     if (Y <= Z)
6     {
7         Global = A + Z;
8     }
9 }

IF...ELSE...语句的反汇编判断:

  IF...ELSE...语句的反汇编判断:
  IF_BEGIN:
  先执行各类影响标志位的指令
  jxx ELSE_BEGIN
  ......
  IF_END:
  jmp END
  ELSE_BEGIN:
  ......
  ELSE_END:
  END:

  特点分析:

  1、如果不跳转,那么会执行到jmp处,jmp直接跳转到END处

  2、如果跳转,则会直接跳过jmp END处的代码,直接执行后面的代码

  总结:

  跳转执行一部分代码,不跳转执行另外一部分代码

  第一个jxx跳转的地址前面有一个jmp ,可以判断是if...else...语句

第一个案例分析

 1 004010B0   push        ebp                    
 2 004010B1   mov         ebp,esp                    
 3 004010B3   sub         esp,44h                    
 4 004010B6   push        ebx                    
 5 004010B7   push        esi                    
 6 004010B8   push        edi                    
 7 004010B9   lea         edi,[ebp-44h]                    
 8 004010BC   mov         ecx,11h                    
 9 004010C1   mov         eax,0CCCCCCCCh                    
10 004010C6   rep stos    dword ptr [edi]                    
11 004010C8   mov         eax,[004225c4]                    
12 004010CD   mov         dword ptr [ebp-4],eax                    
13 004010D0   mov         ecx,dword ptr [ebp+8]                    
14 004010D3   cmp         ecx,dword ptr [ebp+0Ch]                    
15 004010D6   jle         004010e6                    
16 004010D8   mov         edx,dword ptr [ebp+8]                    
17 004010DB   add         edx,dword ptr [ebp-4]                    
18 004010DE   mov         dword ptr [004225c4],edx                    
19 004010E4   jmp         004010f1                    
20 004010E6   mov         eax,dword ptr [ebp+0Ch]                    
21 004010E9   add         eax,dword ptr [ebp-4]                    
22 004010EC   mov         [004225c4],eax                    
23 004010F1   pop         edi                    
24 004010F2   pop         esi                    
25 004010F3   pop         ebx                    
26 004010F4   mov         esp,ebp                    
27 004010F6   pop         ebp                    
28 004010F7   ret

 

         

  函数内部功能分析:

  1、分析参数:
  [ebp+8] : X [ebp+0Ch] :Y

  2、分析局部变量
  [ebp-4] = eax = [004225c4]

  3、分析全局变量
  [004225c4] G

  4、功能分析

  a、004010C8 mov eax,[004225c4]
  004010CD mov dword ptr [ebp-4],eax
  Local = Global


  b、004010D0 mov ecx,dword ptr [ebp+8]
  004010D3 cmp ecx,dword ptr [ebp+0Ch]
  比较X与Y的大小

  c、如果Y<=X 那么执行
  004010E6 mov eax,dword ptr [ebp+0Ch] X
  004010E9 add eax,dword ptr [ebp-4] Local + X
  004010EC mov [004225c4],eax Global = Local + X


  d、如果Y>X 那么执行
  004010D8 mov edx,dword ptr [ebp+8] Y
  004010DB add edx,dword ptr [ebp-4] Local + Y
  004010DE mov dword ptr [004225c4],edx Global = Local + Y
  004010E4 jmp 004010f1

  5、返回值分析
  无

第二个案例分析

 1 004010B0   push        ebp                    
 2 004010B1   mov         ebp,esp                    
 3 004010B3   sub         esp,48h                    
 4 004010B6   push        ebx                    
 5 004010B7   push        esi                    
 6 004010B8   push        edi                    
 7 004010B9   lea         edi,[ebp-48h]                    
 8 004010BC   mov         ecx,12h                    
 9 004010C1   mov         eax,0CCCCCCCCh                    
10 004010C6   rep stos    dword ptr [edi]                    
11 004010C8   mov         eax,[004225c4]                    
12 004010CD   mov         dword ptr [ebp-4],eax                    
13 004010D0   mov         dword ptr [ebp-8],2                    
14 004010D7   mov         ecx,dword ptr [ebp+8]                    
15 004010DA   cmp         ecx,dword ptr [ebp+0Ch]                    
16 004010DD   jl          004010e8                    
17 004010DF   mov         edx,dword ptr [ebp-8]                    
18 004010E2   add         edx,1                    
19 004010E5   mov         dword ptr [ebp-8],edx                    
20 004010E8   mov         eax,dword ptr [ebp+8]                    
21 004010EB   cmp         eax,dword ptr [ebp+0Ch]                    
22 004010EE   jge         004010fb                    
23 004010F0   mov         ecx,dword ptr [ebp-8]                    
24 004010F3   mov         dword ptr [004225c4],ecx                    
25 004010F9   jmp         00401107                    
26 004010FB   mov         edx,dword ptr [ebp-4]                    
27 004010FE   add         edx,dword ptr [ebp-8]                    
28 00401101   mov         dword ptr [004225c4],edx                    
29 00401107   pop         edi                    
30 00401108   pop         esi                    
31 00401109   pop         ebx                    
32 0040110A   mov         esp,ebp                    
33 0040110C   pop         ebp                    
34 0040110D   ret

         

 分析过程如下:

         

posted on 2019-10-04 00:13  Reverse-xiaoyu  阅读(810)  评论(0编辑  收藏  举报