环境

VC6.0环境

空函数反汇编

#include "stdafx.h"

void function(){

}

int main(int argc, char* argv[])

{

	function();

	printf("Hello World!\n");

	return 0;

}

我们通过反汇编来分析这段空函数

###函数外部

10:       function();

00401068   call        @ILT+5(function) (0040100a)

11:       printf("Hello World!\n");

0040106D   push        offset string "Hello World!\n" (0042201c)

00401072   call        printf (004010a0)

00401077   add         esp,4

12:       return 0;

0040107A   xor         eax,eax

函数内部

4:    #include "stdafx.h"

5:    void function(){

00401020   push        ebp

00401021   mov         ebp,esp

00401023   sub         esp,40h

00401026   push        ebx

00401027   push        esi

00401028   push        edi

00401029   lea         edi,[ebp-40h]

0040102C   mov         ecx,10h

00401031   mov         eax,0CCCCCCCCh

00401036   rep stos    dword ptr [edi]

6:

7:    }

00401038   pop         edi

00401039   pop         esi

0040103A   pop         ebx

0040103B   mov         esp,ebp

0040103D   pop         ebp

0040103E   ret

分析函数

函数调用

00401048   call        @ILT+5(function) (0040100a)

函数内部

接着进到函数的内部

有了之前画堆栈的经验,我们不难看出,尽管我们的函数是个空函数,但其汇编代码依然完成了以下流程:

1.提升堆栈

2.保护现场

3.初始化提升的堆栈

4.恢复现场

5.返回

提升堆栈

00401010   push        ebp

00401011   mov         ebp,esp

00401013   sub         esp,40h

保护现场

00401026   push        ebx

00401027   push        esi

00401028   push        edi

初始化提升的堆栈

00401029   lea         edi,[ebp-40h]

0040102C   mov         ecx,10h

00401031   mov         eax,0CCCCCCCCh

00401036   rep stos    dword ptr [edi]

恢复现场

00401028   pop         edi

00401029   pop         esi

0040102A   pop         ebx

0040102B   mov         esp,ebp

0040102D   pop         ebp

PS:这里的mov esp,ebp就是降低堆栈,与前面的提升堆栈相对应,所以也属于恢复现场的一部分

返回

0040103E   ret

函数返回后



函数返回后不出意料地返回调用CALL地下一行语句,我们接着看

0040104D   xor         eax,eax

这里是将eax清零,注意到我们的语句为return 0 这里就是将eax作为返回值来传递

一般来说eax都是作为函数的返回值,但不绝对,有的函数返回值是存在内存里或其他情况,要具体情况具体分析

0040104F   pop         edi

00401050   pop         esi

00401051   pop         ebx

很明显,这里是在还原现场,别忘了我们的主程序main本身也是个函数,这是在还原main前保护的现场

接着往下走

0040107F   add         esp,40h

00401082   cmp         ebp,esp

00401084   call        __chkesp (00401120)

这里首先是将esp减少了40h,然后比较ebp和esp,最后再调用一个chesp函数从名称就不难看出 chkesp = check esp,检查esp,这个函数就是用来检查堆栈是否平衡

那么接下来

00401089   mov         esp,ebp

0040108B   pop         ebp

依旧是恢复现场

最后是

0040108C   ret

##总结空函数分析

我们可以看到,即便是一个空函数什么都没有做,但调用一个空函数所产生的汇编代码却不少

保护现场、恢复现场以及堆栈平衡的检查等等都没少,可谓麻雀虽小五脏俱全。

简单加法函数反汇编

#include "stdafx.h"

int Plus(int x ,int y)

{

  retuen x+y;

}

int main(int argc, char* argv[])

{

	//调用加法函数

        Plus(1,2);

	return 0;

}

加法函数的反汇编

11:       //调用加法函数

12:       Plus(1,2);

00401068   push        2

0040106A   push        1

0040106C   call        @ILT+0(Plus) (00401005)

00401071   add         esp,8

13:       return 0;

00401074   xor         eax,eax

14:   }

00401076   pop         edi

00401077   pop         esi

00401078   pop         ebx

00401079   add         esp,40h

0040107C   cmp         ebp,esp

0040107E   call        __chkesp (004010a0)

00401083   mov         esp,ebp

00401085   pop         ebp

00401086   ret

分析函数

00401068   push        2

0040106A   push        1

0040106C   call        @ILT+0(Plus) (00401005)

结合前面的空函数分析,我们可以明显发现这里的函数调用环节,多了两个push就是将函数所需要的参数压入堆栈,这里的参数为2和1,注意压入的顺序是反着(由调用约定决定)

函数内部



提升堆栈保护现场初始化

提升堆栈、保护现场、初始化部分和空函数如出一辙,这里就不在赘述

00401020   push        ebp

00401021   mov         ebp,esp

00401023   sub         esp,40h

00401026   push        ebx

00401027   push        esi

00401028   push        edi

00401029   lea         edi,[ebp-40h]

0040102C   mov         ecx,10h

00401031   mov         eax,0CCCCCCCCh

00401036   rep stos    dword ptr [edi]

实际执行主要的部分

7:      return x+y;

00401038   mov         eax,dword ptr [ebp+8]

0040103B   add         eax,dword ptr [ebp+0Ch]

这里的[ebp+8] 就是我们前面压入的参数1,[ebp+c]就是前面压入的参数2

于是这两条语句其实就是

00401038   mov         eax,1

0040103B   add         eax,2

将1+2的结果保存到eax中,(此时eax又作为函数返回值的载体)

恢复现场和返回

接下来的内容和空函数一样了,恢复现场和返回,也不再赘述

0040103E   pop         edi

0040103F   pop         esi

00401040   pop         ebx

00401041   mov         esp,ebp

00401043   pop         ebp

00401044   ret

函数返回后

函数返回后我们会发现与先前的空函数相比多了这一行代码

00401071   add         esp,8

这里是对应我们前面压入的两个参数1和2,压入参数后esp减少了8,这里我们函数调用结束后,就不再需要之前压入的两个参数了,于是将esp恢复到压入参数前,这其实也算是恢复现场,用来平衡堆栈,我们可以发现,这条语句是在我们call调用完毕后执行的平衡堆栈操作,所以这种操作也被称为堆栈外平衡

与之相对应的就是堆栈内平衡:即在call里面就把堆栈平衡好了

反汇编分析C语言的更多相关文章

  1. Linux下简单C语言小程序的反汇编分析

    韩洋原创作品转载请注明出处<Linux内核分析>MOOC课程http://mooc.study.163.com/course/USTC-1000029000 写在开始,本文为因为参加MOO ...

  2. 《C专家编程》第三章——分析C语言的声明

    前面一章我们已经说过C语言存在的一些问题和它晦涩的地方,让我们对这门神奇的语言有了更深的了解.现在这一章则集中精力来讨论C语言的声明,分为三块,首先是说明C语言声明晦涩难懂的原因和声明是如何形成的,其 ...

  3. C++写一个简单的解析器(分析C语言)

    该方案实现了一个分析C语言的词法分析+解析. 注意: 1.简单语法,部分秕.它可以在本文法的基础上进行扩展,此过程使用自上而下LL(1)语法. 2.自己主动能达到求First 集和 Follow 集. ...

  4. 基于Spark和SparkSQL的NetFlow流量的初步分析——scala语言

    基于Spark和SparkSQL的NetFlow流量的初步分析--scala语言 标签: NetFlow Spark SparkSQL 本文主要是介绍如何使用Spark做一些简单的NetFlow数据的 ...

  5. 以杨辉三角为例,从内存角度简单分析C语言中的动态二维数组

    学C语言,一定绕不过指针这一大难关,而指针最让人头疼的就是各种指向关系,一阶的指针还比较容易掌握,但一旦阶数一高,就很容易理不清楚其中的指向关系,现在我将通过杨辉三角为例,我会用四种方法从内存的角度简 ...

  6. 32 Profiling Go Programs 分析go语言项目

    Profiling Go Programs  分析go语言项目 24 June 2011 At Scala Days 2011, Robert Hundt presented a paper titl ...

  7. 浅析VS2010反汇编 VS 反汇编方法及常用汇编指令介绍 VS2015使用技巧 调试-反汇编 查看C语言代码对应的汇编代码

    浅析VS2010反汇编 2015年07月25日 21:53:11 阅读数:4374 第一篇 1. 如何进行反汇编 在调试的环境下,我们可以很方便地通过反汇编窗口查看程序生成的反汇编信息.如下图所示. ...

  8. 反汇编分析objc函数枢纽objc_msgSend

    在分析objc_msgSend之前,先来搞清楚另一个问题. 函数是什么?可能会答 void foo(void) {} 像这样就是一个函数.或者函数包括函数原型和函数定义,是一段执行某样功能的机器代码. ...

  9. objc反汇编分析,block函数块为何物?

    上一篇向大家介绍了__block变量的反汇编和它的伪代码,本篇函数块block,通常定义成原型(^){},它在反汇编中是什么东西. 我们先定义将要反汇编的例子,为减少篇幅例子采用non-arc环境. ...

  10. 通过分析反汇编还原 C 语言 if…else 结构

    让我们从反汇编的角度去分析并还原 C 语言的 if - else 结构,首先我们不看源代码,我们用 OllyDBG 载入 PE 文件,定位到 main 函数领空,如下图所示. 在图示中,我已经做好了关 ...

随机推荐

  1. Longformer详解——从Self-Attention说开去

    1.Longformer的应用场景 为了理解Longformer的原理,我们最好首先从为何需要使用Longformer开始说起.(这里默认各位已经对Self Attention等基础知识有一定的了解) ...

  2. 驱动开发:通过MDL映射实现多次通信

    在前几篇文章中LyShark通过多种方式实现了驱动程序与应用层之间的通信,这其中就包括了通过运用SystemBuf缓冲区通信,运用ReadFile读写通信,运用PIPE管道通信,以及运用ASYNC反向 ...

  3. 2022-04-27:用go语言重写ffmpeg的remuxing.c示例。

    2022-04-27:用go语言重写ffmpeg的remuxing.c示例. 答案2022-04-27: ffmpeg的remuxing.c是一个用于将多媒体文件从一种容器格式转换为另一种容器格式的命 ...

  4. 2022-01-17:单词规律 II。 给你一种规律 pattern 和一个字符串 str,请你判断 str 是否遵循其相同的规律。 这里我们指的是 完全遵循,例如 pattern 里的每个字母和字符

    2022-01-17:单词规律 II. 给你一种规律 pattern 和一个字符串 str,请你判断 str 是否遵循其相同的规律. 这里我们指的是 完全遵循,例如 pattern 里的每个字母和字符 ...

  5. Jupyter Notebook (Anaconda3)更改保存文件的默认路径

    打开jupyter 查找路径 1 import os 2 a=os.path.abspath('.') 3 print(a) 创建个人文件夹 E:\pyAPP\JupyterWork 查找修改配置文件 ...

  6. 【GiraKoo】面向对象开发系列之【为什么要用面向对象】

    开源项目:https://girakoo.com/ 问答 为什么要有面向对象开发? 面向过程开发的C语言,往往有以下几个问题: 不同的开发人员需要使用功能完全相同,或者大部分相同的函数.如果某个算法存 ...

  7. 《啊哈C语言——逻辑的挑战》学习笔记

    第一章 梦想启航 第1节 让计算机开口说话 1.基础知识 1)计算机"说话"的两种方式 显示在屏幕上 通过喇叭发出声音 2)计算机"说话"之显示在屏幕上 格式: ...

  8. 500行代码代码手写docker-将rootfs设置为只读镜像

    (3)500行代码代码手写docker-将rootfs设置为只读镜像 本系列教程主要是为了弄清楚容器化的原理,纸上得来终觉浅,绝知此事要躬行,理论始终不及动手实践来的深刻,所以这个系列会用go语言实现 ...

  9. react eject提示This git repository has untracked files or uncommitted changes:

    在yarn eject 但时 老是提示This git repository has untracked files or uncommitted changes: Remove untracked ...

  10. 封装vue基于element的select多选时启用鼠标悬停折叠文字以tooltip显示具体所选值

    相信很多公司的前端开发人员都会选择使用vue+element-ui的形式来开发公司的管理后台系统,基于element-ui很丰富的组件生态,我们可以很快速的开发管理后台系统的页面(管理后台系统的页面也 ...