【黑客免杀攻防】读书笔记8 - 软件逆向工程基础2(if-else,三目运算符)
0x1 if-else分支
if-else分支4种状态
1.1 以常量为判断条件的简单if-else分支
C源代码:
单层if-else判断,常量为判断条件
int _tmain(int argc, _TCHAR* argv[])
{
int nTest = 1;
if (nTest>0)
printf("Hello world!\r\n");
else
printf("Hello everybody!\r\n");
return 0;
}
if-else分支用的都是反比,Debug版本的if-else分支特征如下:
010170DE mov ?????,????? ;赋值到寄存器,然后地址与真假值对比
010170E5 cmp ?????,0x0 ;比较数值
010170E9 jle X9-7.010170FA ;比较后的跳转,如果不执行分支1就执行分支2的位置
........... ;进行一定操作的分支1
010170F8 jmp X9-7.01017107 ;分支1执行完毕后,无条件跳转到结束位置,结束判断
010170FA push 9-7.010A5E64 ;进行一定操作的分支2
010170FF call 9-7.01013CE7 ;进行一定操作的分支2
01017104 add esp,0x4
01017107 xor eax,eax
先把值存放到寄存器中,cmp对比数值,跳转的方式不一定是JLE,也可能是JXX。如果执行完分支1(if)内容后,无条件跳转到结束的位置。如果没有执行分支1,那会跳转到分支2的位置,执行完后顺序执行到结束的位置。
1.2 以变量为判断条件的简单if-else分支
C源代码:
单层if-else判断,变量为判断条件
int _tmain(int argc, _TCHAR* argv[])
{
if (argc > 0)
printf("Hello world!\r\n");
else
printf("Hello everybody!\r\n");
return 0;
}
反汇编代码:
cmp ?????,????? ;比较数值
jxx AAAAAA ;比较方式
.....some code ;分支一
retn
AAAAAA ; JXX后面的地址
.....some code ; 分支二
retn
release版为每一个分支后面都添加上了结束代码。
编译器这样做其实仅增加了一个字节的体积,但是减少了一个跳转指令。
1.3 以常量为判断条件的复杂if-else分支
C源代码:
两个连续的if-else判断,常量为判断条件
int _tmain(int argc, _TCHAR* argv[])
{
int nTest = 1;
if (nTest>0) // 第一个if-else
printf("Hello!\r\n");
else
printf("Hello everybody!\r\n");
if (nTest>0) // 第二个if-else
printf("World!\r\n");
else
printf("Hello everybody!\r\n");
printf("End!\r\n");
return 0;
}
Debug版本汇编:
00B170DE mov XXXXX,XXXXX ;将数值移动到堆栈中
00B170E5 cmp XXXXX,XXXXX ;比较数值
00B170E9 jle X9-9.00B170FA ;跳转
....A分支1行为
00B170F8 jmp X9-9.00B17107 ;如果分支1行为执行了就跳过A分支2的行为
00B170FA ....A分支2行为
00B17107 cmp XXXXX,XXXXX
00B1710B jle X9-9.00B1711C
....B分支1行为
00B1711A jmp X9-9.00B17129 ;无条件跳转,越过B分支2行为
00B1711C ....B分支2行为
00B17129 push 9-9.00BA5E80 ;ASCII "End!
00B1712E call 9-9.00B13CE7 ;printf函数
00B17133 add esp,0x4
00B17136 xor eax,eax
release版生成的代码:
不可达的分支都有编辑器初期给剪掉了,VS2015跟书上的例子不一样。进去Main()函数后直接就是输出常量的值,然后调用printf函数了。。
00A71000 push 9-9.00A86448 ; format = "Hello! 字符串
00A71005 call 9-9.printf ; printf函数
00A7100A push 9-9.00A86454 ; format = "World! 字符串
00A7100F call 9-9.printf ; printf
00A71014 push 9-9.00A86460 ; format = "End! 字符串
00A71019 call 9-9.printf ; printf
00A7101E add esp,0x
00A71021 xor eax,ea
00A71023 retn
1.4 以变量为判断条件的复杂if-else分支
C源代码:
两个连续的if-else判断,变量为判断条件
int _tmain(int argc, _TCHAR* argv[])
{
if (argc>0)
{
if (argc == 1)
printf("Hello!\r\n");
else
printf("Hello everybody!\r\n");
}
else
{
if (argc == 1)
printf("World!\r\n");
else
printf("Hello everybody!\r\n");
}
return 0;
}
Debug版本汇编:
00E470DE cmp [arg.1],0x0
00E470E2 jle X9-10.00E47108 ; 最外层的if分支
00E470E4 cmp [arg.1],0x1
00E470E8 jnz X9-10.00E470F9 ; 内层第一个if分支
00E470EA push 9-10.00ED5E50 ;
00E470EF call 9-10.00E43CE7 ; 调用printf函数输出"Hello!
00E470F4 add esp,0x4
00E470F7 jmp X9-10.00E47106
00E470F9 push 9-10.00ED5E5C ; 内层第一个else分支内容开始
00E470FE call 9-10.00E43CE7 ; 调用printf函数输出"Hello everybody!
00E47103 add esp,0x4
00E47106 jmp X9-10.00E4712A
00E47108 cmp [arg.1],0x1 ; 最外层的else分支
00E4710C jnz X9-10.00E4711D ; 内层第二个if分支
00E4710E push 9-10.00ED5E74 ;
00E47113 call 9-10.00E43CE7 ; 调用printf函数输出 "World!
00E47118 add esp,0x4
00E4711B jmp X9-10.00E4712A
00E4711D push 9-10.00ED5E5C ; 内层第二个else分支
00E47122 call 9-10.00E43CE7 ; 调用printf函数输出"Hello everybody!
00E47127 add esp,0x4
00E4712A xor eax,eax
release版生成的代码:
直接就是变量当成常量输出了,所有的流程只剩下会被执行的一部分汇编代码。
00C91000 push ebp
00C91001 mov ebp,esp
00C91003 mov eax,[arg.1]
00C91006 test eax,eax
00C91008 jle X9-10.00C91020 ; 最外层的if-else分支
00C9100A cmp eax,0x1
00C9100D jnz X9-10.00C91020 ; 内层第一个if-else分支
00C9100F push 9-10.00CA6448 ;
00C91014 call 9-10.printf ; 调用printf函数输出"Hello!
00C91019 add esp,0x4
00C9101C xor eax,eax
00C9101E pop ebp
00C9101F retn
00C91020 push 9-10.00CA6454 ;
00C91025 call 9-10.printf ; 调用printf函数输出"Hello everybody!
00C9102A add esp,0x4
00C9102D xor eax,eax
00C9102F pop ebp
00C91030 retn
1.5 识别三目运算符
1. 有序常量的三目运算
C源代码:
int _tmain(int argc, _TCHAR* argv[])
{
return argc==1 ? 2:3;
}
Debug反汇编特征:
Debug下的汇编与常见的if-else无异。
0039773B cmp dword ptr [ebp+0x8], 0x1 ; 比较
0039773F jnz short 0039774D ; 分支跳转
00397741 mov dword ptr [ebp-0xC4], 0x2; 分支1内容:赋值2
0039774B jmp short 00397757 ; 无条件跳转:执行完分支1,就不在执行分支2
0039774D mov dword ptr [ebp-0xC4], 0x3; 分支2内容:赋值3
00397757 mov eax, dword ptr [ebp-0xC4]
0039775D pop edi ; 9-11.<ModuleEntryPoint>
0039775E pop esi
Relese反汇编特征:
00121272 cmp dword ptr [ebp+0x8], 0x1; 比较
00121276 setne al ; 判断ZF标志位,判断是否对al赋值
00121279 add eax, 0x2 ; 将eax与2相加
0012127C pop ebp
setne这个指令含义为:
if ZF=1 then cl=0
if ZF=0 then cl=1
程序最后的返回结果只能有两种,即2与3,而setne指令则会根据ZF位的影响来决定是给al(也可以理解为eax)赋值1还是0。
如果比较相等,则eax的值会被置为0,加上2之后正好返回2;而如果不等的话自然就会返回3了。
2. 稍复杂的有序常量的三目运算
C源代码:
int _tmain(int argc, _TCHAR* argv[])
{
printf("11111111111111");
return argc == 1 ? 6:8;
}
Relese反汇编指令:
00281272 cmp dword ptr [ebp+0x8], 0x1
00281276 setne al
00281279 lea eax, dword ptr [eax*2+0x6]
00281280 pop ebp
三目运算只可能等于6或8,因此编译器用了一个lea指令对其进行加法运算。
如果条件为假,那么eax里的值为0,执行完lea指令后的最终结果为6;
如果条件为真,那么eax里的值为1,执行完lea指令后的最终结果为8;
有序常量的三目运算符特征如下:
xor reg32, reg32 ;任意可用的寄存器,但两个操作数所用的寄存器必须相同
cmp dword ptr [ebp+0x8],?? ;比较对比数与参照数
setne reg8 ;XOR中所用到的寄存器(或其低位寄存器)
3. 无序常量的三目运算
C源代码:
int _tmain(int argc, _TCHAR* argv[])
{
printf("1111111111111111111111111");
return argc == 1 ? 68 : 6;
}
Relese反汇编指令:
00C61270 mov eax, 0x6 ;将参数传递给eax
00C61275 cmp dword ptr [ebp+0x8], 0x1;对比
00C61279 mov ecx, 0x44
00C6127E cmove eax, ecx ;等于0的时候传送
我用VS2015生成的代码和书上的反汇编指令是不一样的。
cmove指令的含义是:
cmove S, D //等于0时传送
返回值会是6或68,先把6的值传到eax寄存器中。cmp对比后,下一条指令是把68的值传到ecx寄存器里。
如果等于0,就用ecx寄存器值传送到eax寄存器中,否则不传送。
4. 值为变量的三目运算
C源代码:
int _tmain(int argc, _TCHAR* argv[])
{
printf("111111");
return argc == 1 ? 6:(int)argv;
}
Relese反汇编指令:
00AC126D mov eax, dword ptr [ebp+0xC]; 将局部变量保存到eax中
00AC1270 add esp, 0x4 ; 平衡堆栈
00AC1273 cmp dword ptr [ebp+0x8], 0x1; 比较数值是否等于1
00AC1277 mov ecx, 0x6 ; 将分支1内容赋值到ecx
00AC127C cmove eax, ecx ; 根据CMP影响的标志位结果判断是否传送
00AC127F pop ebp
00AC1280 retn
在以上C语言程序例子我用VS2015编译后,OD反汇编出来的指令与书上的指令还是不一样的。与无序常量的三目运算反汇编后的指令差不多。
这说明VS版本编译器更新后,编译优化做了很大的改动。接下来的日子还是要通过不断地练习,才能让自己的水平真正的见长起来。
小结:
编译器之所以这样做是因为每执行一次寄存器赋值操作要比偶尔一次的流程转移操作更加高效,需要付出的代价更小。
0x2 参考
《黑客免杀攻防》 软件逆向工程(4)
http://blog.csdn.net/dalerkd/article/details/41251595
【黑客免杀攻防】读书笔记8 - 软件逆向工程基础2(if-else,三目运算符)的更多相关文章
- 【黑客免杀攻防】读书笔记7 - 软件逆向工程基础1(函数调用约定、Main函数查找)
0x1 准备工作 1.1.准备工具 IDA:交互式反汇编工具 OllyDbg:用户层调试工具 Visual Studio:微软开发工具 1.2.基础知识 C++开发 汇编语言 0x2 查找真正的mai ...
- 【黑客免杀攻防】读书笔记5 - PE格式讲解
0x01 MS-DOS头 MS-DOS头部的字段重点关注e_magic与最后一个e_lfanew是需要关注的. 第一个e_magic字段的值为4D5A,作用是可以作为判断这个文件是否是PE文件. 最后 ...
- 【黑客免杀攻防】读书笔记6 - PE文件知识在免杀中的应用
0x1 PE文件与免杀思路 基于PE文件结构知识的免杀技术主要用于对抗启发式扫描. 通过修改PE文件中的一些关键点来达到欺骗反病毒软件的目的. 修改区段名 1.1 移动PE文件头位置免杀 工具:PeC ...
- 【黑客免杀攻防】读书笔记18-最终章Anti Rootkit
1.免杀技巧的遏制 1.1.PE文件 入口点不在第一个区段或在最后一个区段 入口点处代码附近只有一小段代码 入口点在正常范围之外 入口点为一个无效的值,实际入口点为TLS的入口点 区段名重复或者不属于 ...
- 【黑客免杀攻防】读书笔记2 - 免杀与特征码、其他免杀技术、PE进阶介绍
第3章 免杀与特征码 这一章主要讲了一些操作过程.介绍了MyCCL脚本木马免杀的操作,对于定位特征码在FreeBuf也曾发表过类似工具. VirTest5.0特征码定位器 http://www.fre ...
- 【黑客免杀攻防】读书笔记15 - 源码免杀、C++壳的编写
1.源码免杀 1.1 定位产生特征的源码 定位文件特征 1.根据MyCCL的特征码定位工具,定位出有特征的地址 2.根据VS的反汇编窗口,输入有特征的地址得到特征地址与源码的关系 3.插入Messag ...
- 【黑客免杀攻防】读书笔记10 - switch-case分支
0x1 switch-case分支 switch-case其实就是if-else语句的另一种体现形式.但大于3之后的switchc-case.编译器会对代码进行优化. 1.1 简单switch-cas ...
- 【黑客免杀攻防】读书笔记17 - Rootkit基础
1.构建Rootkit基础环境 1.1.构建开发环境 VS2012+WDK8 1.2.构建基于VS2012的调试环境 将目标机.调试机配置在同一个工作组内 sVS2012配置->DRIVER-& ...
- 【黑客免杀攻防】读书笔记14 - 面向对象逆向-虚函数、MFC逆向
虚函数存在是为了克服类型域解决方案的缺陷,以使程序员可以在基类里声明一些能够在各个派生类里重新定义的函数. 1 识别简单的虚函数 代码示例: #include "stdafx.h" ...
随机推荐
- day21 re模块
引入方式 import re 方法 .findall() 找所有的,返回所有的结果然后放在列表中 ret = re.findall("[a-z]+","yangtuo t ...
- BZOJ 3503 [CQOI2014]和谐矩阵
题目链接 BZOJ 3503 题解 没想到--直接用暴力的\(O((nm)^3)\)算法,居然能过?! 高斯消元解异或方程组. #include <cstdio> #include < ...
- 洛谷 P1110 [ZJOI2007]报表统计 解题报告
P1110 [ZJOI2007]报表统计 题目描述 \(Q\)的妈妈是一个出纳,经常需要做一些统计报表的工作.今天是妈妈的生日,小\(Q\)希望可以帮妈妈分担一些工作,作为她的生日礼物之一. 经过仔细 ...
- luogu2336 喵星球上的点名 (SA+二分答案+树状数组)
离散化一下然后把姓名串和询问串都放一起做SA 和bzoj3277串类似地,满足某一询问的后缀(就是和这个询问对应的后缀的LCP>=这个询问长度的后缀)的排名也是一个区间,把这个区间二分出来即可 ...
- windows安装redis的正确姿势
安装: 1,redis官方下载地址:https://redis.io/download,redis 64位下载地址:https://github.com/ServiceStack/redis-wind ...
- 离线安装.NET 3.5
最近为系统新增一个功能,写完以后进行部署,发现在IIS7上部署没有问题,但是IIS6上部署会出现未知情况,具体表现为取不到数据,估计是IIS6和IIS7直接的差异导致程序异常退出. 为了重现异常,在本 ...
- [NOI2017]泳池——概率DP+线性递推
[NOI2017]泳池 实在没有思路啊~~~ luogu题解 1.差分,转化成至多k的概率减去至多k-1的概率.这样就不用记录“有没有出现k”这个信息了 2.n是1e9,感觉要递推然后利用数列的加速技 ...
- 【洛谷P4289】移动玩具 状压bfs
代码如下 #include <bits/stdc++.h> using namespace std; const int dx[]={0,0,1,-1}; const int dy[]={ ...
- Java:终于找到了在alloy中的JFileChooser中的弹出式菜单不显示文字的解决办法
alloy界面可以说是我写过的最漂亮的一种JAVA界面. 可惜不知为什么,至从几年前推出1.4版后,就再也没有更新了. 随着java版本的升级,一直很担心alloy有一天不再适用于java的最新版. ...
- SQL语句中 int 溢出 + Asp语句中 Long 溢出
晚上5点多,同事在QQ告诉我,一个用户向他反应,在他登录的时候显示错误信息,我们在管理平台查看该用户的基本信息时,也显示错误信息. 经过初步分析,原来是在执行 SQL语句的时候发生Int溢出: sql ...