0x1 if-else分支

if-else分支4种状态

1.1 以常量为判断条件的简单if-else分支

C源代码:

单层if-else判断,常量为判断条件

int _tmain(int argc, _TCHAR* argv[])

{

	int nTest = 1;

	if (nTest>0)

		printf("Hello world!\r\n");

	else

		printf("Hello everybody!\r\n");

	return 0;

}

if-else分支用的都是反比,Debug版本的if-else分支特征如下:

010170DE mov ?????,?????    ;赋值到寄存器,然后地址与真假值对比

010170E5 cmp ?????,0x0      ;比较数值

010170E9 jle X9-7.010170FA  ;比较后的跳转,如果不执行分支1就执行分支2的位置

...........                 ;进行一定操作的分支1

010170F8 jmp X9-7.01017107  ;分支1执行完毕后,无条件跳转到结束位置,结束判断

010170FA push 9-7.010A5E64  ;进行一定操作的分支2

010170FF call 9-7.01013CE7  ;进行一定操作的分支2

01017104 add esp,0x4

01017107 xor eax,eax

先把值存放到寄存器中,cmp对比数值,跳转的方式不一定是JLE,也可能是JXX。如果执行完分支1(if)内容后,无条件跳转到结束的位置。如果没有执行分支1,那会跳转到分支2的位置,执行完后顺序执行到结束的位置。

1.2 以变量为判断条件的简单if-else分支

C源代码:

单层if-else判断,变量为判断条件

int _tmain(int argc, _TCHAR* argv[])

{

	if (argc > 0)

		printf("Hello world!\r\n");

	else

		printf("Hello everybody!\r\n");

	return 0;

}

反汇编代码:

cmp ?????,????? ;比较数值

jxx AAAAAA      ;比较方式

.....some code  ;分支一

retn

AAAAAA          ; JXX后面的地址

.....some code  ; 分支二

retn

release版为每一个分支后面都添加上了结束代码。

编译器这样做其实仅增加了一个字节的体积,但是减少了一个跳转指令。

1.3 以常量为判断条件的复杂if-else分支

C源代码:

两个连续的if-else判断,常量为判断条件

int _tmain(int argc, _TCHAR* argv[])

{

	int nTest = 1;

	if (nTest>0)  // 第一个if-else

		printf("Hello!\r\n");

	else

		printf("Hello everybody!\r\n");

	if (nTest>0)  // 第二个if-else

		printf("World!\r\n");

	else

		printf("Hello everybody!\r\n");

	printf("End!\r\n");

	return 0;

}

Debug版本汇编:

00B170DE mov XXXXX,XXXXX   ;将数值移动到堆栈中

00B170E5 cmp XXXXX,XXXXX   ;比较数值

00B170E9 jle X9-9.00B170FA ;跳转

         ....A分支1行为

00B170F8 jmp X9-9.00B17107 ;如果分支1行为执行了就跳过A分支2的行为

00B170FA ....A分支2行为

00B17107 cmp XXXXX,XXXXX

00B1710B jle X9-9.00B1711C

         ....B分支1行为

00B1711A jmp X9-9.00B17129 ;无条件跳转,越过B分支2行为

00B1711C ....B分支2行为

00B17129 push 9-9.00BA5E80 ;ASCII "End!

00B1712E call 9-9.00B13CE7 ;printf函数

00B17133 add esp,0x4

00B17136 xor eax,eax

release版生成的代码:

不可达的分支都有编辑器初期给剪掉了,VS2015跟书上的例子不一样。进去Main()函数后直接就是输出常量的值,然后调用printf函数了。。

00A71000  push 9-9.00A86448  ; format = "Hello! 字符串

00A71005  call 9-9.printf    ; printf函数

00A7100A  push 9-9.00A86454  ; format = "World! 字符串

00A7100F  call 9-9.printf    ; printf

00A71014  push 9-9.00A86460  ; format = "End! 字符串

00A71019  call 9-9.printf    ; printf

00A7101E  add esp,0x

00A71021  xor eax,ea

00A71023  retn

1.4 以变量为判断条件的复杂if-else分支

C源代码:

两个连续的if-else判断,变量为判断条件

int _tmain(int argc, _TCHAR* argv[])

{

	if (argc>0)

	{

		if (argc == 1)

			printf("Hello!\r\n");

		else

			printf("Hello everybody!\r\n");

	}

	else

	{

		if (argc == 1)

			printf("World!\r\n");

		else

			printf("Hello everybody!\r\n");

	}

	return 0;

}

Debug版本汇编:

00E470DE cmp [arg.1],0x0

00E470E2 jle X9-10.00E47108 ; 最外层的if分支

00E470E4 cmp [arg.1],0x1

00E470E8 jnz X9-10.00E470F9 ; 内层第一个if分支

00E470EA push 9-10.00ED5E50 ;

00E470EF call 9-10.00E43CE7 ; 调用printf函数输出"Hello!

00E470F4 add esp,0x4

00E470F7 jmp X9-10.00E47106

00E470F9 push 9-10.00ED5E5C ; 内层第一个else分支内容开始

00E470FE call 9-10.00E43CE7 ; 调用printf函数输出"Hello everybody!

00E47103 add esp,0x4

00E47106 jmp X9-10.00E4712A

00E47108 cmp [arg.1],0x1    ; 最外层的else分支

00E4710C jnz X9-10.00E4711D ; 内层第二个if分支

00E4710E push 9-10.00ED5E74 ;

00E47113 call 9-10.00E43CE7 ; 调用printf函数输出 "World!

00E47118 add esp,0x4

00E4711B jmp X9-10.00E4712A

00E4711D push 9-10.00ED5E5C ; 内层第二个else分支

00E47122 call 9-10.00E43CE7 ; 调用printf函数输出"Hello everybody!

00E47127 add esp,0x4

00E4712A xor eax,eax

release版生成的代码:

直接就是变量当成常量输出了,所有的流程只剩下会被执行的一部分汇编代码。

00C91000 push ebp

00C91001 mov ebp,esp

00C91003 mov eax,[arg.1]

00C91006 test eax,eax

00C91008 jle X9-10.00C91020 ; 最外层的if-else分支

00C9100A cmp eax,0x1

00C9100D jnz X9-10.00C91020 ; 内层第一个if-else分支

00C9100F push 9-10.00CA6448 ;

00C91014 call 9-10.printf   ; 调用printf函数输出"Hello!

00C91019 add esp,0x4

00C9101C xor eax,eax

00C9101E pop ebp

00C9101F retn

00C91020 push 9-10.00CA6454 ;

00C91025 call 9-10.printf   ; 调用printf函数输出"Hello everybody!

00C9102A add esp,0x4

00C9102D xor eax,eax

00C9102F pop ebp

00C91030 retn

1.5 识别三目运算符

1. 有序常量的三目运算

C源代码:



int _tmain(int argc, _TCHAR* argv[])

{

	return argc==1 ? 2:3;

}

Debug反汇编特征:

Debug下的汇编与常见的if-else无异。

0039773B cmp     dword ptr [ebp+0x8], 0x1 ;  比较

0039773F jnz     short 0039774D           ;  分支跳转

00397741 mov     dword ptr [ebp-0xC4], 0x2;  分支1内容:赋值2

0039774B jmp     short 00397757           ;  无条件跳转:执行完分支1,就不在执行分支2

0039774D mov     dword ptr [ebp-0xC4], 0x3;  分支2内容:赋值3

00397757 mov     eax, dword ptr [ebp-0xC4]

0039775D pop     edi                      ;  9-11.<ModuleEntryPoint>

0039775E pop     esi

Relese反汇编特征:

00121272 cmp     dword ptr [ebp+0x8], 0x1;  比较

00121276 setne   al                      ;  判断ZF标志位,判断是否对al赋值

00121279 add     eax, 0x2                ;  将eax与2相加

0012127C pop     ebp

setne这个指令含义为:

if ZF=1 then cl=0

if ZF=0 then cl=1

程序最后的返回结果只能有两种,即2与3,而setne指令则会根据ZF位的影响来决定是给al(也可以理解为eax)赋值1还是0。

如果比较相等,则eax的值会被置为0,加上2之后正好返回2;而如果不等的话自然就会返回3了。

2. 稍复杂的有序常量的三目运算

C源代码:

int _tmain(int argc, _TCHAR* argv[])

{

	printf("11111111111111");

	return argc == 1 ? 6:8;

}

Relese反汇编指令:

00281272 cmp     dword ptr [ebp+0x8], 0x1

00281276 setne   al

00281279 lea     eax, dword ptr [eax*2+0x6]

00281280 pop     ebp

三目运算只可能等于6或8,因此编译器用了一个lea指令对其进行加法运算。

如果条件为假,那么eax里的值为0,执行完lea指令后的最终结果为6;

如果条件为真,那么eax里的值为1,执行完lea指令后的最终结果为8;

有序常量的三目运算符特征如下:

xor     reg32, reg32           ;任意可用的寄存器,但两个操作数所用的寄存器必须相同

cmp     dword ptr [ebp+0x8],?? ;比较对比数与参照数

setne   reg8                   ;XOR中所用到的寄存器(或其低位寄存器)

3. 无序常量的三目运算

C源代码:

int _tmain(int argc, _TCHAR* argv[])

{

	printf("1111111111111111111111111");

	return argc == 1 ? 68 : 6;

}

Relese反汇编指令:

00C61270 mov     eax, 0x6                ;将参数传递给eax

00C61275 cmp     dword ptr [ebp+0x8], 0x1;对比

00C61279 mov     ecx, 0x44

00C6127E cmove   eax, ecx                ;等于0的时候传送

我用VS2015生成的代码和书上的反汇编指令是不一样的。

cmove指令的含义是:

cmove S, D //等于0时传送

返回值会是6或68,先把6的值传到eax寄存器中。cmp对比后,下一条指令是把68的值传到ecx寄存器里。

如果等于0,就用ecx寄存器值传送到eax寄存器中,否则不传送。

4. 值为变量的三目运算

C源代码:

int _tmain(int argc, _TCHAR* argv[])

{

	printf("111111");

	return argc == 1 ? 6:(int)argv;

}

Relese反汇编指令:

00AC126D mov     eax, dword ptr [ebp+0xC];  将局部变量保存到eax中

00AC1270 add     esp, 0x4                ;  平衡堆栈

00AC1273 cmp     dword ptr [ebp+0x8], 0x1;  比较数值是否等于1

00AC1277 mov     ecx, 0x6                ;  将分支1内容赋值到ecx

00AC127C cmove   eax, ecx                ;  根据CMP影响的标志位结果判断是否传送

00AC127F pop     ebp

00AC1280 retn

在以上C语言程序例子我用VS2015编译后,OD反汇编出来的指令与书上的指令还是不一样的。与无序常量的三目运算反汇编后的指令差不多。

这说明VS版本编译器更新后,编译优化做了很大的改动。接下来的日子还是要通过不断地练习,才能让自己的水平真正的见长起来。

小结:

编译器之所以这样做是因为每执行一次寄存器赋值操作要比偶尔一次的流程转移操作更加高效,需要付出的代价更小。

0x2 参考

《黑客免杀攻防》 软件逆向工程(4)

http://blog.csdn.net/dalerkd/article/details/41251595

【黑客免杀攻防】读书笔记8 - 软件逆向工程基础2(if-else,三目运算符)的更多相关文章

  1. 【黑客免杀攻防】读书笔记7 - 软件逆向工程基础1(函数调用约定、Main函数查找)

    0x1 准备工作 1.1.准备工具 IDA:交互式反汇编工具 OllyDbg:用户层调试工具 Visual Studio:微软开发工具 1.2.基础知识 C++开发 汇编语言 0x2 查找真正的mai ...

  2. 【黑客免杀攻防】读书笔记5 - PE格式讲解

    0x01 MS-DOS头 MS-DOS头部的字段重点关注e_magic与最后一个e_lfanew是需要关注的. 第一个e_magic字段的值为4D5A,作用是可以作为判断这个文件是否是PE文件. 最后 ...

  3. 【黑客免杀攻防】读书笔记6 - PE文件知识在免杀中的应用

    0x1 PE文件与免杀思路 基于PE文件结构知识的免杀技术主要用于对抗启发式扫描. 通过修改PE文件中的一些关键点来达到欺骗反病毒软件的目的. 修改区段名 1.1 移动PE文件头位置免杀 工具:PeC ...

  4. 【黑客免杀攻防】读书笔记18-最终章Anti Rootkit

    1.免杀技巧的遏制 1.1.PE文件 入口点不在第一个区段或在最后一个区段 入口点处代码附近只有一小段代码 入口点在正常范围之外 入口点为一个无效的值,实际入口点为TLS的入口点 区段名重复或者不属于 ...

  5. 【黑客免杀攻防】读书笔记2 - 免杀与特征码、其他免杀技术、PE进阶介绍

    第3章 免杀与特征码 这一章主要讲了一些操作过程.介绍了MyCCL脚本木马免杀的操作,对于定位特征码在FreeBuf也曾发表过类似工具. VirTest5.0特征码定位器 http://www.fre ...

  6. 【黑客免杀攻防】读书笔记15 - 源码免杀、C++壳的编写

    1.源码免杀 1.1 定位产生特征的源码 定位文件特征 1.根据MyCCL的特征码定位工具,定位出有特征的地址 2.根据VS的反汇编窗口,输入有特征的地址得到特征地址与源码的关系 3.插入Messag ...

  7. 【黑客免杀攻防】读书笔记10 - switch-case分支

    0x1 switch-case分支 switch-case其实就是if-else语句的另一种体现形式.但大于3之后的switchc-case.编译器会对代码进行优化. 1.1 简单switch-cas ...

  8. 【黑客免杀攻防】读书笔记17 - Rootkit基础

    1.构建Rootkit基础环境 1.1.构建开发环境 VS2012+WDK8 1.2.构建基于VS2012的调试环境 将目标机.调试机配置在同一个工作组内 sVS2012配置->DRIVER-& ...

  9. 【黑客免杀攻防】读书笔记14 - 面向对象逆向-虚函数、MFC逆向

    虚函数存在是为了克服类型域解决方案的缺陷,以使程序员可以在基类里声明一些能够在各个派生类里重新定义的函数. 1 识别简单的虚函数 代码示例: #include "stdafx.h" ...

随机推荐

  1. Leetcode 50.Pow(x,n) By Python

    实现 pow(x, n) ,即计算 x 的 n 次幂函数. 示例 1: 输入: 2.00000, 10 输出: 1024.00000 示例 2: 输入: 2.10000, 3 输出: 9.26100 ...

  2. [HNOI2010] 城市建设_动态最小生成树(Dynamic_MST)

    这个题...暴力单次修改\(O(n)\),爆炸... $ $ 不过好在可以离线做 如果可以在 分治询问 的时候把图缩小的话就可以做了 硬着头皮把这个骚东西看完了 $ $ 动态最小生成树 然后,就把它当 ...

  3. luogu4187 [USACO18JAN]Stamp Painting (dp)

    可以发现,只要存在连续k个相同的,这个情况就一定是合法情况 然而这个不太好算,我们算不存在k个相同的,然后用$m^n$把它减掉 设f[i]为前i个,没有连续k个的 显然$f[i]=m^i ,i< ...

  4. 【loj3054】【hnoi2019】鱼

    题目 描述 ​ 难以描述.......慢慢看..: ​ https://loj.ac/problem/3054 范围 ​ $6 \le n \le 1000  ,  1 \le |x| , |y| \ ...

  5. ORACLE常用性能监控SQL

    Temp表空间上进程的查询 select a.tablespace, b.sid, b.serial#, a.blocks,c.sql_text from v$sort_usage a,v$sessi ...

  6. 移动UI布局设计原则(一)

    学习笔记1 Learning notes one 移动UI布局设计的布局原则 Layout Principles of Mobile UI Layout Design 移动UI视觉交互设计法则 Des ...

  7. maven install deploy tell us heap is full

    <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-compi ...

  8. kubernetes Dashboard 使用RBAC 权限认证控制

    kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,[包地址在此](https://market.aliyun.com/products/56014009/ ...

  9. JVM总结(二):垃圾回收器

    这一节我们来总结一下JVM垃圾收集器方面的东西. 垃圾回收器 判断对象引用是否失效 对象生存判断算法 引用判断过程 垃圾收集算法简介 垃圾收集器 新生代垃圾收集器 老年代垃圾收集器 新生代和老年代垃圾 ...

  10. css 中ul li 与 ul>li的区别

    ul li :后代选择器,ul 里所有的 li 元素,包括 ol 里的 li ; ul>li :子代选择器,下一级的DOM节点,不包括 ol 里的 li . ul>ol>li :子代 ...