if语句的反汇编判断

  if语句的反汇编判断基本是围绕JCC指令的,如果想要有深刻的理解,可以自行练习JCC指令

  执行各类影响标志位的指令
  jxx xxxx
  1、案例一
  mov eax,dword ptr [ebp+8]        分析:cmp指令 影响标志位
  cmp eax,dword ptr [ebp+0Ch]         jle :小于或者等于就跳转到00401059
  jle 00401059

  2、案例二
  mov eax,dword ptr [ebp+8]        分析:cmp指令 影响标志位
  cmp eax,dword ptr [ebp+0Ch]         jl :小于则跳转
  jl 00401059

  3、案例三
  mov eax,dword ptr [ebp+8]       jge :大于或者等于则跳转
  cmp eax,dword ptr [ebp+0Ch]
  jge 00401059

  4、案例四
  mov eax,dword ptr [ebp+8]       jg :大于则跳转
  cmp eax,dword ptr [ebp+0Ch]
  jg 00401059

  仅列举少许,有兴趣可以尝试全部的JCC指令,以便加深理解

案例分析

  在分析if语句时,我们得先有一个整体概念,即在函数调用前,先分析大段,如下:

  函数调用处代码:

  push 5          分析:
  push 4          两个参数
  call 0040100f
  add esp,8

  分析第一个实例:

    push        ebp

    mov         ebp,esp

    sub         esp,40h

    push        ebx

    push        esi

    push        edi

    lea         edi,[ebp-40h]

 0040103C   mov         ecx,10h

    mov         eax,0CCCCCCCCh

    rep stos    dword ptr [edi]

    mov         eax,dword ptr [ebp+]

 0040104B   cmp         eax,dword ptr [ebp+0Ch]

 0040104E   jle

    mov         ecx,dword ptr [ebp+]

    mov         dword ptr [004225c4],ecx

    pop         edi

 0040105A   pop         esi

 0040105B   pop         ebx

 0040105C   mov         esp,ebp

 0040105E   pop         ebp

 0040105F   ret

  我在Excel中将其用颜色标注,上下两段颜色一样的,我们可以不用看,之前有过探究,开辟堆栈所进行的一系列操作,实际功能块就是中间紫色那块

        

  我们的分析过程可大致分为下面五个步骤:

  函数内部功能分析:

  1、分析参数:
  [ebp+8] : X [ebp+0Ch] :Y

  2、分析局部变量
  无

  3、分析全局变量
  mov dword ptr 004225c4,ecx

  4、功能分析
  mov eax,dword ptr [ebp+8]
  cmp eax,dword ptr [ebp+0Ch]

  将参数X存到到EAX中,然后比较EAX,与参数Y的大小
  如果X<=Y 那么跳转到00401059的位置

  否则,将X的值存储到全局变量中

  5、返回值分析
  无

  分析第二个实例:

  调用处代码:

  push 5
  push 4
  call 0040100f
  add esp,8

  函数内部:

    push        ebp

    mov         ebp,esp

    sub         esp,44h

    push        ebx

    push        esi

    push        edi

    lea         edi,[ebp-44h]

 0040103C   mov         ecx,11h

    mov         eax,0CCCCCCCCh

    rep stos    dword ptr [edi]

    mov         eax,[004225c4]

 0040104D   mov         dword ptr [ebp-],eax

    mov         ecx,dword ptr [ebp+]

    cmp         ecx,dword ptr [ebp+0Ch]

    jg

    mov         edx,dword ptr [ebp+0Ch]

 0040105B   add         edx,dword ptr [ebp-]

 0040105E   mov         dword ptr [004225c4],edx

    pop         edi

    pop         esi

    pop         ebx

    mov         esp,ebp

    pop         ebp

 0040106A   ret

  我还是在Excel中标注一下颜色:

        

  函数内部功能分析:

  1、分析参数:
  Y: ebp+8     Z: ebp+c

  2、分析局部变量
  A:ebp-4

  3、分析全局变量
  Global:dword ptr [004225c4],edx

  4、功能分析

  a、00401048 mov eax,[004225c4]
  0040104D mov dword ptr [ebp-4],eax
  A = Global

  b、00401050 mov ecx,dword ptr [ebp+8]
  00401053 cmp ecx,dword ptr [ebp+0Ch]
  参数Y与Z比较大小

  c、00401056 jg 00401064
  如果Y比Z大,则跳转至0x00401064,否则程序走下一步

  d、00401058 mov edx,dword ptr [ebp+0Ch]
  0040105B add edx,dword ptr [ebp-4]
  0040105E mov dword ptr [004225c4],edx
  到这一步,说明Y小于等于Z,将Z与A相加,并把相加的值赋给Global

  5、返回值分析
  无
  6、还原成C函数

 int Global;

 void function(int Z, int Y)

 {

     int A = Global;

     if (Y <= Z)

     {

         Global = A + Z;

     }

 }

IF...ELSE...语句的反汇编判断:

  IF...ELSE...语句的反汇编判断:
  IF_BEGIN:
  先执行各类影响标志位的指令
  jxx ELSE_BEGIN
  ......
  IF_END:
  jmp END
  ELSE_BEGIN:
  ......
  ELSE_END:
  END:

  特点分析:

  1、如果不跳转,那么会执行到jmp处,jmp直接跳转到END处

  2、如果跳转,则会直接跳过jmp END处的代码,直接执行后面的代码

  总结:

  跳转执行一部分代码,不跳转执行另外一部分代码

  第一个jxx跳转的地址前面有一个jmp ,可以判断是if...else...语句

第一个案例分析

 004010B0   push        ebp

 004010B1   mov         ebp,esp

 004010B3   sub         esp,44h

 004010B6   push        ebx

 004010B7   push        esi

 004010B8   push        edi

 004010B9   lea         edi,[ebp-44h]

 004010BC   mov         ecx,11h

 004010C1   mov         eax,0CCCCCCCCh

 004010C6   rep stos    dword ptr [edi]

 004010C8   mov         eax,[004225c4]

 004010CD   mov         dword ptr [ebp-],eax

 004010D0   mov         ecx,dword ptr [ebp+]

 004010D3   cmp         ecx,dword ptr [ebp+0Ch]

 004010D6   jle         004010e6

 004010D8   mov         edx,dword ptr [ebp+]

 004010DB   add         edx,dword ptr [ebp-]

 004010DE   mov         dword ptr [004225c4],edx

 004010E4   jmp         004010f1

 004010E6   mov         eax,dword ptr [ebp+0Ch]

 004010E9   add         eax,dword ptr [ebp-]

 004010EC   mov         [004225c4],eax

 004010F1   pop         edi

 004010F2   pop         esi

 004010F3   pop         ebx

 004010F4   mov         esp,ebp

 004010F6   pop         ebp

 004010F7   ret

        

  函数内部功能分析:

  1、分析参数:
  [ebp+8] : X [ebp+0Ch] :Y

  2、分析局部变量
  [ebp-4] = eax = [004225c4]

  3、分析全局变量
  [004225c4] G

  4、功能分析

  a、004010C8 mov eax,[004225c4]
  004010CD mov dword ptr [ebp-4],eax
  Local = Global

  b、004010D0 mov ecx,dword ptr [ebp+8]
  004010D3 cmp ecx,dword ptr [ebp+0Ch]
  比较X与Y的大小

  c、如果Y<=X 那么执行
  004010E6 mov eax,dword ptr [ebp+0Ch] X
  004010E9 add eax,dword ptr [ebp-4] Local + X
  004010EC mov [004225c4],eax Global = Local + X

  d、如果Y>X 那么执行
  004010D8 mov edx,dword ptr [ebp+8] Y
  004010DB add edx,dword ptr [ebp-4] Local + Y
  004010DE mov dword ptr [004225c4],edx Global = Local + Y
  004010E4 jmp 004010f1

  5、返回值分析
  无

第二个案例分析

 004010B0   push        ebp

 004010B1   mov         ebp,esp

 004010B3   sub         esp,48h

 004010B6   push        ebx

 004010B7   push        esi

 004010B8   push        edi

 004010B9   lea         edi,[ebp-48h]

 004010BC   mov         ecx,12h

 004010C1   mov         eax,0CCCCCCCCh

 004010C6   rep stos    dword ptr [edi]

 004010C8   mov         eax,[004225c4]

 004010CD   mov         dword ptr [ebp-],eax

 004010D0   mov         dword ptr [ebp-],

 004010D7   mov         ecx,dword ptr [ebp+]

 004010DA   cmp         ecx,dword ptr [ebp+0Ch]

 004010DD   jl          004010e8

 004010DF   mov         edx,dword ptr [ebp-]

 004010E2   add         edx,

 004010E5   mov         dword ptr [ebp-],edx

 004010E8   mov         eax,dword ptr [ebp+]

 004010EB   cmp         eax,dword ptr [ebp+0Ch]

 004010EE   jge         004010fb

 004010F0   mov         ecx,dword ptr [ebp-]

 004010F3   mov         dword ptr [004225c4],ecx

 004010F9   jmp

 004010FB   mov         edx,dword ptr [ebp-]

 004010FE   add         edx,dword ptr [ebp-]

    mov         dword ptr [004225c4],edx

    pop         edi

    pop         esi

    pop         ebx

 0040110A   mov         esp,ebp

 0040110C   pop         ebp

 0040110D   ret

        

分析过程如下:

        

if语句,if...else语句的分析的更多相关文章

  1. 对于Oracle中分页排序查询语句执行效率的比较分析

    转自:http://bbs.csdn.net/topics/370033478 对于Oracle中分页排序查询语句执行效率的比较分析 作者:lzgame 在工作中我们经常遇到需要在Oracle中进行分 ...

  2. 【java开发】分支语句、循环语句学习

    一.Java分支语句类型 if-else 语句 switch 关于if-esle语句可以拆分为三种 if语句 if(条件){语句块;} if-else语句if(条件语句){语句块;} if-else ...

  3. 前端笔记知识点整合之JavaScript(三)关于条件判断语句、循环语句那点事

      一.条件分支语句 条件分支语句,也叫作条件判断语句,就是根据某种条件执行某些语句,不执行某些语句. JS中有三种语法是可以表示条件分支的 1.1 if……else…… 条件分支的主力语法,这个主力 ...

  4. 前端笔记之JavaScript(三)关于条件判断语句、循环语句那点事

    一.条件分支语句 条件分支语句,也叫作条件判断语句,就是根据某种条件执行某些语句,不执行某些语句. JS中有三种语法是可以表示条件分支的 1.1 if……else…… 条件分支的主力语法,这个主力语法 ...

  5. 【DB2】SQL0501N FETCH 语句或 CLOSE 语句中指定的游标尚未打开,或者游标标量函数引用中的游标变量尚未打开。 SQLSTATE=24501

    在DB2中建立存储过程时使用了隐式游标,在调用的时候报错如下: SQL0501N  FETCH 语句或 CLOSE 语句中指定的游标尚未打开,或者游标标量函数引用中的游标变量尚未打开.  SQLSTA ...

  6. 为什么说在使用多条件判断时switch case语句比if语句效率高?

    在学习JavaScript中的if控制语句和switch控制语句的时候,提到了使用多条件判断时switch case语句比if语句效率高,但是身为小白的我并没有在代码中看出有什么不同.去度娘找了半个小 ...

  7. continue语句在for语句和while语句中的区别

    while语句的形式: while( expression ) statement for语句的形式: for( expression1; expression2;expression3 )   // ...

  8. javascript语句——条件语句、循环语句和跳转语句

    × 目录 [1]条件语句 [2]循环语句 [3]跳转语句 前面的话 默认情况下,javascript解释器依照语句的编写顺序依次执行.而javascript中的很多语句可以改变语句的默认执行顺序.本文 ...

  9. javascript语句——表达式语句、块语句、空语句和声明语句

    × 目录 [1]表达式 [2]块语句 [3]空语句[4]声明 前面的话 如果表达式在javascript中是短语,那么语句(statement)就是javascript整句或命令.表达式计算出一个值, ...

  10. PHP include语句和require语句

    <?php /* PHP include语句和require语句 include和require 语句是相同的 除了错误处理方面: *require 会生成致命错误,并停止脚本 *include ...

随机推荐

  1. jsp+servlet+mysql简单实现用户登陆注册

    原码,项目中遇到的错误,解决方法,文章最后有链接可以获取 项目简介 *有的网友说在修改和删除时会触发error,建议各位不要去把用户名命名为中文! 功能描述 登陆,注册,用户一览表,修改,删除,添加, ...

  2. 测试IP的一些网址

    http://httpbin.org/ip http://ip111.cn http://test.abuyun.com https://www.whatismybrowser.com

  3. Java读写Excel文件,利用POI

    直接看工具类代码吧, package com.example.demo.util; import com.example.demo.entity.ExcelDataVO; import org.apa ...

  4. acwing 167. 木棒

    乔治拿来一组等长的木棒,将它们随机地砍断,使得每一节木棍的长度都不超过50个长度单位. 然后他又想把这些木棍恢复到为裁截前的状态,但忘记了初始时有多少木棒以及木棒的初始长度. 请你设计一个程序,帮助乔 ...

  5. acwing 517. 信息传递

    地址 https://www.acwing.com/problem/content/description/519/ 有 n 个同学(编号为 1 到 n)正在玩一个信息传递的游戏. 在游戏里每人都有一 ...

  6. 央行辟谣未发行“DC/EP”和“DCEP” 法定数字货币仍在测试阶段

    http://www.sohu.com/a/354709423_100157595 近期,中国央行再度就法定数字货币发布公告,指出目前系统仍处于研究测试过程中,市场上交易“DC/EP”或“DCEP”均 ...

  7. [题解向] Manacher简单习题

    \(1\) LG1659 [国家集训队]拉拉队排练 求前\(k\)大的奇数长度回文串的长度之积. \(\rm |S|\leq 1e6,K\leq 1e12\) --一开始觉得挺水,就开始二分最少长度能 ...

  8. vue--npm install只许成功,不许失败

    npm安装时出现run `npm audit fix` to fix them, or `npm audit` for details 方案一: 1.如果你的项目里存在 package-lock.js ...

  9. HTML连载49-清除浮动的第三种方式(内外墙法)

    一.清除浮动的第三种方式 1.隔墙法有两种​如下:外墙法和内墙法​.​ 2.外墙法 (1)在两个盒子中间添加一个额外的块级元素 (2)给这个额外添加的块级元素设置:clear:both;属性 注意点: ...

  10. JMS消息传递类型特点介绍

    对于消息的传递有两种类型: 一种是点对点的,即一个生产者和一个消费者一一对应: 另一种是发布/ 订阅模式,即一个生产者产生消息并进行发送后,可以由多个消费者进 行接收. 特点介绍: 点到点模型点对点传 ...