C++反汇编揭秘1 一个简单的C++程序反汇编解析

　本系列主要从汇编角度研究C++语言机制和汇编的对应关系。第一篇自然应该从最简单的开始。C++的源代码如下：
　　 
　　 
　　 
　　 class my_class
　　 {
　　 public :
　　 my_class()
　　 {
　　 m_member = 1;
　　 }
　　 
　　 void method(int n)
　　 {
　　 m_member = n;
　　 }
　　 
　　 ~my_class()
　　 {
　　 m_member = 0;
　　 }
　　 
　　 private :
　　 int m_member;
　　 };
　　 
　　 int _tmain(int argc, _TCHAR* argv[])
　　 {
　　 my_class a_class;
　　 a_class.method(10);
　　 
　　 return 0;
　　 }
　　 
　　 
　　 
　　可以直接Debug的时候看到Assembly代码，不过这样获得的代码注释比较少。比较理想的方法是利用VC编译器的一个选项/FAs来生成对应的汇编代码。/FAs还会在汇编代码中加入注释注明和C++代码的对应关系，十分有助于分析。Build代码便可以在输出目录下发现对应的.ASM文件。本文将逐句分析汇编代码和C++的对应关系。
　　首先是WinMain：
　　 
　　 
　　 
　　 _TEXT SEGMENT
　　 _wmain PROC
　　 push ebp ; 保存旧的ebp
　　 mov ebp, esp ; ebp保存当前栈的位置
　　 push -1 ; 建立SEH(Structured Exception Handler)链
　　 ; -1表示表头,没有Prev
　　 push __ehhandler$_wmain ; SEH异常处理程序的地址
　　 mov eax, DWORD PTR fs:0 ; fs:0指向TEB的内容，头4个字节是当前SEH链的地址
　　 push eax ; 保存起来
　　 sub esp, d8H ; 分配d8H字节的空间
　　 push ebx
　　 push esi
　　 push edi
　　 lea edi, DWORD PTR [ebp-e4H] ; e4H = d8H + 4 * 3，跳过中间ebx, esi, edi
　　 mov ecx, 36H ; 36H*4H=d8H，也就是用36H个ccccccccH填满刚才分配的d8H字节空间
　　 mov eax, ccccccccH
　　 rep stosd
　　 mov eax, DWORD PTR ___security_cookie 
　　 xor eax, ebp 
　　 push eax ; ebp ^ __security_cookie压栈保存
　　 lea eax, DWORD PTR [ebp-0cH] ; ebp-0cH是新的SEH链的结构地址（刚压入栈中的栈地址）
　　 mov DWORD PTR fs:0, eax ; 设置到TEB中作为当前Active的SEH链表末尾
　　 
　　 
　　 
　　 
　　到此为止栈的内容是这样的：
　　低地址
　　 
　　 
　　 
　　 Security cookie after XOR
　　 
　　 
　　 
　　 
　　 Edi
　　 
　　 
　　 
　　 
　　 Esi
　　 
　　 
　　 
　　 
　　 Ebx
　　 
　　 
　　 
　　 
　　 Local stack: d8H
　　 
　　 
　　 
　　 
　　 Old fs:0
　　 
　　 
　　 
　　 
　　 __ehhandler$_wmain
　　 
　　 
　　 
　　 
　　 ffffffffH
　　 
　　 
　　 
　　 
　　 Old ebp
　　 
　　 
　　 
　　高地址
　　main接着后面调用my_class的构造函数
　　 
　　 
　　 
　　 lea ecx, DWORD PTR [ebp-14H]
　　 call ??0my_class@@QAE@XZ ; 调用my_class::my_class, ??my_class@@QAE@XZ是经过Name Mangling后的名字
　　 mov DWORD PTR [ebp-4], 0 ; 进入__try块，在Main中有一个隐式的__try/__except块
　　 
　　 
　　 
　　 
　　接着调用my_class::method
　　 
　　 
　　 
　　 push 10 ; 参数入栈
　　 lea ecx, DWORD PTR [ebp-14H] ; 遵循thiscall调用协定，ecx存放的是this指针
　　 call ?method@my_class@@QAEXH@Z ; 调用子程序my_class:method(10)
　　 
　　 
　　 
　　之后是析构：
　　 
　　 
　　 
　　 mov DWORD PTR [ebp-e0H], 0 ; 用来放置返回值
　　 mov DWORD PTR [ebp-4], -1 ; 标记TRY的正常结束
　　 lea ecx, DWORD PTR [ebp-14H] ; a_class的地址作为this存入ECX
　　 call ??1my_class@@QAE@XZ ; my_class::~my_class
　　 mov eax, DWORD PTR [ebp-e0H] ; 返回值按照约定放入eax中
　　 
　　 
　　 
　　 
　　Main函数退出代码如下：
　　 
　　 
　　 
　　 push edx
　　 mov ecx, ebp
　　 push eax
　　 lea edx, DWORD PTR $LN7@wmain
　　 call @_RTC_CheckStackVars@8 ; 检查栈
　　 pop eax
　　 pop edx
　　 mov ecx, DWORD PTR [ebp-0cH] ; 取出之前保存的旧的fs:0，并恢复
　　 mov DWORD PTR fs:0, ecx
　　 pop ecx
　　 pop edi
　　 pop esi
　　 pop ebx
　　 add esp, e4H ; 退掉分配的d8H + 建立SEH链所需的0cH字节
　　 cmp ebp, esp
　　 call __RTC_CheckEsp ; 检查esp值，这个时候esp应该和ebp匹配，否则说明出现了栈不平衡的情况，这种情况下调用子程序报错
　　 mov esp, ebp ; 恢复ebp到esp
　　 pop ebp ; 恢复原来的ebp值
　　 ret 0
　　 _wmain ENDP
　　 
　　 
　　 
　　专门用于SEH的子程序。__unwindfunclet$_wmain$0当异常发生的时候被调，负责进行栈展开，主要是调用析构函数。__ehhandler$_wmain则是在exception被抛出的时候调用。
　　 
　　 
　　 
　　 Text$x SEGMENT
　　 __unwindfunclet$_wmain$0: ; 当SEH发生的时候会调用该函数，析购a_class
　　 lea ecx, DWORD PTR [ebp-14H] ; ecx = [ebp – 14H]，也就是a_class的地址
　　 jmp ??1my_class@@QAE@XZ ; 调用my_class::~my_class
　　 __ehhandler$_wmain:
　　 mov edx, DWORD PTR [esp+8] ; esp = 当前的fs:0, [esp + 8] = 之前的SEH结构，也就是main中建立的
　　 lea eax, DWORD PTR [edx+0cH] ; edx + 0Ch = 当前的ebp，也就是main的ebp，此时不能直接使用ebp因为可能会从任意函数调过来，此时ebp是该函数的ebp，而不是main的ebp
　　 mov ecx, DWORD PTR [edx-e0H] ; 之前存下去的__security_cookie ^ ebp
　　 xor ecx, eax ; 再次和ebp相异或
　　 call @__security_check_cookie@4 ; 此时ecx应该等于__security_cookie，否则说明栈的内容被恶意改动（或者编程错误）
　　 mov eax, OFFSET __ehfuncinfo$_wmain
　　 jmp ___CxxFrameHandler3
　　 text$x ENDS
　　 
　　 
　　 
　　 
　　My_class::my_class构造函数如下。构造函数本质上就是一个全局函数，名字是经过打乱的(Name Mangling)，这样可以和同一Class和其他Class的同名方法区别开来。不同编译器有不同规则，因此不必过于深究。
　　 
　　 
　　 
　　 _TEXT SEGMENT
　　??0my_class@@QAE@XZ PROC
　　 push ebp ; 保存旧的ebp
　　 mov ebp, esp ; ebp保存当前栈的位置
　　 sub esp, ccH ; 给栈分配ccH个字节
　　 push ebx ; 保存常用寄存器
　　 push esi
　　 push edi
　　 push ecx
　　 lea edi, DWORD PTR [ebp-ccH] ; 从分配的位置开始
　　 mov ecx, 33H ; 写33H个ccccccccH
　　 mov eax, ccccccccH ; 也就是33H*4H=ccH，正好是分配的大小
　　 rep stosd ; 从而把整个栈上当前分配的空间用ccH填满
　　 pop ecx
　　 mov DWORD PTR [ebp-8], ecx ; 按照约定，一般用ECX保存this指针
　　 ; 把this存入到ebp-8，并不是很必要，因为这是Debug版本
　　 
　　 
　　 ; 10 : {
　　 ; 11 : m_member = 1;
　　 
　　 mov eax, DWORD PTR [ebp-8] ; eax中存放this
　　 mov DWORD PTR [eax], 1 ; this的头四个byte是m_member的内容
　　 
　　 ; 12 : }
　　 
　　 mov eax, DWORD PTR [ebp-8] ; 多余的一句话，可以优化掉
　　 pop edi
　　 pop esi
　　 pop ebx
　　 mov esp, ebp ; 恢复esp，因此就算是中间栈运算出错，最后也不会导致灾难性的结果，只要ebp还是正确的
　　 pop ebp
　　 ret 0
　　 ??0my_class@@QAE@XZ ENDP
　　 
　　 
　　 
　　My_class::method的实现如下：
　　 
　　 
　　 
　　 _TEXT SEGMENT
　　 ?method@my_class@@QAEXH@Z PROC ; my_class::method
　　 
　　 ; 15 : {
　　 
　　 push ebp
　　 mov ebp, esp
　　 sub esp, ccH
　　 push ebx
　　 push esi
　　 push edi
　　 push ecx
　　 lea edi, DWORD PTR [ebp-ccH]
　　 mov ecx, 33H
　　 mov eax, ccccccccH
　　 rep stosd
　　 pop ecx
　　 mov DWORD PTR [ebp-8], ecx
　　 
　　 ; 16 : m_member = n;
　　 
　　 mov eax, DWORD PTR [ebp-8] ; eax中存放this
　　 mov ecx, DWORD PTR [ebp+8] ; ebp -> ebp
　　 ; ebp + 4 -> IP 
　　 ; ebp + 8 -> n
　　 ; 把n存入ecx中
　　 mov DWORD PTR [eax], ecx ; this头四个字节是m_member, 因此这句话就是m_member = n
　　 
　　 ; 17 : }
　　 
　　 pop edi
　　 pop esi
　　 pop ebx
　　 mov esp, ebp
　　 pop ebp
　　 ret 4 ; 等价于
　　 ; ret 恢复EIP，返回调用地址
　　 ; add esp, 4 -> 把n从栈上Pop掉
　　 ?method@my_class@@QAEXH@Z ENDP
　　 
　　 
　　 
　　最后的析构函数，和前面的代码并无区别。
　　 
　　 
　　 
　　 _TEXT SEGMENT
　　 ??1my_class@@QAE@XZ PROC ; my_class::~my_class
　　 
　　 ; 20 : {
　　 
　　 push ebp
　　 mov ebp, esp
　　 sub esp, 204 
　　 push ebx
　　 push esi
　　 push edi
　　 push ecx
　　 lea edi, DWORD PTR [ebp-204]
　　 mov ecx, 33H 
　　 mov eax, ccccccccH 
　　 rep stosd
　　 pop ecx
　　 mov DWORD PTR _this$[ebp], ecx
　　 
　　 ; 21 : m_member = 0;
　　 
　　 mov eax, DWORD PTR [ebp-8]
　　 mov DWORD PTR [eax], 0
　　 
　　 ; 22 : }
　　 
　　 pop edi
　　 pop esi
　　 pop ebx
　　 mov esp, ebp
　　 pop ebp
　　 ret 0
　　 ??1my_class@@QAE@XZ ENDP ; my_class::~my_class
　　 _TEXT ENDS
　　 
　　 
　　 
　　这次写的比较仓促一些，很多东西都只是点到为止，以后会慢慢补齐，并覆盖更多C++语言和一些C++
　　编译器的特性，敬请关注(王朝网络 wangchao.net.cn)