C++反汇编-菱形继承

学无止尽，积土成山，积水成渊-《C++反汇编与逆向分析技术揭秘》 读书笔记。马上就要出差了，回来后接着写吧。

一、概述

　　菱形继承是最复杂的对象结构，菱形结构会将单一继承与多重继承进行组合。菱形继承示意如下：

class A；

class B : virtual public A；

class C : virtual public A；

class D : public B, public C；

 

　　其中菱形继承中使用了虚继承机制。虚继承定义为：在继承定义中包含了virtual关键字的继承关系。虚继承的提出就是为了解决多重继承。如果不采用虚继承，则D类对象会保存基类A的两份副本，从导致D类对象使用基类A成员变量或或成员函数时，出现二义性。但如果采用虚继承时，则D类对象则就只保留了基类A的一份副本，但编译器是如何实现这个机制呢？

　　先从简单的单类继承讲起，如派生类B虚继承基类A:编译器会在派生类B的对象中保存一个基类A的副本，然后在类B的对象中添加一个变量，该变量是关于类A的数据在类B的对象中的偏移量（offset）。实际上类B的对象中并不直接保存偏移量（offset） 的值，而是保存一个指针(pvbtable)，该指针指向一个vbtable表(virtual base table，虚基类表)，vbtable表中的由有两项组成：

• 第一项 vbtable[1]：所属类（即派生类B）对应的虚表指针相对于 pvbtable 的偏移值；
• 第二项 vbtable[2]： 虚基类（即基类A）的虚表指针相对于 pvbtable 的偏移值。

　　所有类B的对象共享该表，因此每个类B的对象均有一个单独的指针（pvbtable）指向该表。同理可知，类C的对象中也同样有个指针变量（pvbtable），指向一个vbtable表。

 

1. 派生类D的对象内存排列：

• 类B的虚表指针（pvftabe_B）
• 类B的虚基类表的指针(pvbtable_B)
• 类B的成员数据
• 类C的虚表指针 (pvftabe_C)
• 类C的虚基类表的指针(pvbtable_C)
• 类C的成员数据
• 类D的成员数据
• 类A的虚表指针(pvftabe_A)
• 类A的成员数据

　　显然在类D的对象中只存在基类A数据的一份副本，而且具有以下等式

　　vbtable_B[2] + address[pvbtable_B] = vbtable_C[2] + address[pvbtable_C] = address[pvftabe_A]。

2.构造函数

　在对象D的构造函数内只会调用一次祖父类A的构造函数，编译器在调用类B、C、D的构造函数时，增添一个名为“构造标记”的参数。例如在调用B:B()构造函数时，“构造标记”=0时，则不调用用父类A的构造函数；“构造标记”=1时，则调用父类A的构造函数。在调用D:D()构造函数时，“构造标记”=0时，则不调用用祖父类A的构造函数；“构造标记”=1时，则调用祖父类A的构造函数。

具体过程如下：

①“构造标记”置1，然后调用D:D();

②在D:D()内，调用A:A();

③在D:D()内，“构造标记”置0，然后调用B：B（）;

④在D:D()内，“构造标记”置0，然后调用C：C（）;

3.析构函数

 在对象D的构造函数内只会调用一次祖父类A的析构函数。

二、源码（书中第十二章 菱形继承源码）

// 定义家具类，等同于类A
class CFurniture{
public:
    CFurniture(){
        m_nPrice = ;
    }
    virtual ~CFurniture(){              // 家具类的虚析构函数
    printf("virtual ~CFurniture()\r\n");
    }
    virtual int GetPrice(){         // 获取家具价格
        return m_nPrice;
    };
protected:
    int m_nPrice;                   // 家具类的成员变量
};  

// 定义沙发类，继承自类CFurniture，等同于类B
class CSofa : virtual public CFurniture{
public:
    CSofa(){
        m_nPrice = ;
        m_nColor = ;
    }
    virtual ~CSofa(){               // 沙发类虚析构函数
        printf("virtual ~CSofa()\r\n");
    }
    virtual int GetColor(){         // 获取沙发颜色
        return m_nColor;
    }
    virtual int SitDown(){              // 沙发可以坐下休息
        return printf("Sit down and rest your legs\r\n");
    }
protected:
    int m_nColor;                   // 沙发类成员变量
};  

// 定义床类，继承自类CFurniture，等同于类C
class CBed : virtual public CFurniture{
public:
    CBed(){
        m_nPrice = ;
        m_nLength = ;
        m_nWidth = ;
    }
    virtual ~CBed(){                // 床类的虚析构函数
        printf("virtual ~CBed()\r\n");
    }
    virtual int GetArea(){                  // 获取床面积
        return m_nLength * m_nWidth;
    }
    virtual int Sleep(){                    // 床可以用来睡觉
        return printf("go to sleep\r\n");
    }
protected:
    int m_nLength;                      // 床类成员变量
    int m_nWidth;
};  

// 子类沙发床的定义，派生自类CSofa和类CBed，等同于类D
class CSofaBed :  public CSofa,  public CBed{
public:
    CSofaBed(){
    m_nHeight = ;
  }
    virtual ~CSofaBed(){                    // 沙发床类的虚析构函数
    printf("virtual ~CSofaBed()\r\n");
  }
    virtual int SitDown(){                  // 沙发可以坐下休息
        return printf("Sit down on the sofa bed\r\n");
    }
    virtual int Sleep(){                    // 床可以用来睡觉
        return printf("go to sleep on the sofa bed\r\n");
    }
  virtual int GetHeight(){
    return m_nHeight;
  }
protected:
  int m_nHeight;                        // 沙发类的成员变量
};
void main(int argc, char* argv[]){
    CSofaBed  SofaBed;
} 

三、汇编(VS2010编译)

1.内存排列

;偏移        地址      值           值解析
ebp-28h    002BF950  00CD4854  pvftable1---->const CSofaBed::`vftable'{for `CSofa'}
ebp-24h    002BF954  00CD4870  pvbtable1---->const CSofaBed::`vbtable'{for `CSofa'}
ebp-20h    002BF958    CSofa.m_nColor
ebp-1Ch    002BF95C  00CD4844  pvftable2---->const CSofaBed::`vftable'{for `CBed'}
ebp-18h    002BF960  00CD4864  pvbtable2---->const CSofaBed::`vbtable'{for `CBed'}
ebp-14h    002BF964    CBed.m_nLength
ebp-10h    002BF968    CBed.m_nWidth
ebp-0Ch    002BF96C    CSofaBed.m_nHeight
ebp-08h    002BF970  00CD4834  pvftable3---->const CSofaBed::`vftable'{for `CFurniture'}
ebp-04h    002BF974    CFurniture.m_nPrice                                         

;第一个虚表（pvftable1）：
;const CSofaBed::`vftable'{for `CSofa'}                ;基类CSofa的虚表
00CD4854  00CD10B4  CSofa::GetColor(void)
00CD4858  00CD1005  CSofaBed::SitDown(void)
00CD485C  00CD1127  CSofaBed::GetHeight(void)
00CD4860  

;第一个虚基表(vbtable1)：
;const CSofaBed::`vbtable'{for `CSofa'}
00CD4870  FFFFFFFC ;vbtable1[1]=-4, address[pvbtable1]+vbtable1[1]=address[pvftable1]
00CD4874  0000001C ;vbtable1[2]=28, address[pvbtable1]+vbtable1[2]=address[pvftable3]
00CD4878  

;第二个虚表（pvftable2）：
;const CSofaBed::`vftable'{for `CBed'}                ;基类CBed的虚表
00CD4844  00CD10FA  CBed::GetArea(void)
00CD4848  00CD1091  CSofaBed::Sleep(void)
00CD484C  

;第二个虚基表(vbtable2)：
;const CSofaBed::`vbtable'{for `CBed'}
00CD4864  FFFFFFFC ;vbtable2[1]=-4, address[pvbtable2]+vbtable2[1]=address[pvftable2]
00CD4868   ;vbtable2[2]=16, address[pvbtable2]+vbtable2[2]=address[pvftable3]
00CD486C  

;第三个虚表(pvftable3)：
;const CSofaBed::`vftable'{for `CFurniture'}            ;虚基类CFurniture的虚表
00CD4834  00CD1028  CSofaBed::`scalar deleting destructor'(uint)
00CD4838  00CD1145  CFurniture::GetPrice(void)
00CD483C  00000000

2.构造函数

mov     [ebp-], ecx               ;临时保存this指针到[ebp-4]
mov     dword ptr [ebp-48h],      ;构造标记置0
cmp     dword ptr [ebp+],
;函数参数[ebp+8]==0，为0时不需要调用祖父类的构造函数;为1时，需要调用祖父类的构造函数。
jz      short loc_4114BC

mov     eax, [ebp-]                ;eax=this
;初始化为[eax+4]=[this+4]=pvbtable1,对pvbtable1初始化为const CSofaBed::`vbtable'{for `CSofa'}
mov     dword ptr [eax+], offset ??_8CSofaBed@@7BCSofa@@@
mov     eax, [ebp-]                ;eax=this
;初始化为[eax+10h]=[this+10h]=pvbtable2,对pvbtable2初始化为const CSofaBed::`vbtable'{for `CBed'}
mov     dword ptr [eax+10h], offset ??_8CSofaBed@@7BCBed@@@
mov     ecx, [ebp-]                ;ecx=this
add     ecx, 20h                    ;ecx+20h=this+20h----->pvftable3
call    j_??0CFurniture@@QAE@XZ     ;调用祖父类构造函数CFurniture::CFurniture(void)
or      dword ptr [ebp-48h],       ;构造标记置1

loc_4114BC:
push                               ;压入参数0，作为构造标记，跳过虚基类CFurniture的构造函数
mov     ecx, [ebp-]                ;ecx=this
call    j_??0CSofa@@QAE@XZ          ;调用父类构造函数CSofa::CSofa(void)
push                               ;压入参数0，作为构造标记，跳过虚基类CFurniture的构造函数
mov     ecx, [ebp-]                ;ecx=this
add     ecx, 0Ch                    ;ecx=this+0ch----->pvftable2
call    j_??0CBed@@QAE@XZ           ;调用父类构造函数CBed::CBed(void)
mov     eax, [ebp-]                ;ecx=this
;[eax]=[this]----->pvftable1,初始化为const CSofaBed::`vftable'{for `CSofa'}
mov     dword ptr [eax], offset ??_7CSofaBed@@6BCSofa@@@
mov     eax, [ebp-]                ;ecx=this
;ecx=this+0ch----->pvftable2,初始化为 const CSofaBed::`vftable'{for `CBed'}
mov     dword ptr [eax+0Ch], offset ??_7CSofaBed@@6BCBed@@@
mov     eax, [ebp-]                ;eax=this
mov     ecx, [eax+]                ;ecx=[this+4]=pvbtable1
mov     edx, [ecx+]                ;edx=[pvbtable1+4]=vbtable1[2]
mov     eax, [ebp-]                ;eax=this=address[pvftable1]
;[eax+edx+4]=[this+vbtable1[2]]----->pvftable3,初始化为const CSofaBed::`vftable'{for `CFurniture'}
mov     dword ptr [eax+edx+], offset ??_7CSofaBed@@6BCFurniture@@@
mov     eax, [ebp-]                ;eax=this
mov     dword ptr [eax+1Ch],       ;[eax+1ch]=[this+1ch]----->CSofaBed.m_nHeight,初始化为6

3.析构函数

略

4.函数调用

CFurniture * pFurniture = &SofaBed;
mov     ecx, [ebp-24h]        ;参照栈表可知，ecx=[ebp-24h]=[this+4]=pvbtable1，指向第一个虚基表
mov     edx, [ecx+]          ;edx=[pvbtable1+4]=vbtable2[2]
lea     eax, [ebp+edx-24h]    
;pvbtable1+vbtable2[2]=address[pvftable3]，即eax=address[pvftable3]=this+20h。
mov     [ebp-78h], eax
mov     ecx, [ebp-78h]
mov     [ebp-2Ch], ecx        ;指针变量pFurniture在[ebp-2Ch]处，即pFurniture=this+20h

;printf("price is %d", pFurniture->GetPrice());
mov     eax, [ebp-2Ch]        ;把pFurniture赋值给eax，即eax=this+20h
mov     edx, [eax]            ;edx=[this+20h]=pvftable3
mov     ecx, [ebp-2Ch]        ;ecx传参，ecx=this+20h----->pvftable3
mov     eax, [edx+]          
;eax=[pvftable3+4]=vftable3[2]----->CFurniture::GetPrice(void)
call    eax                   ;调用CFurniture::GetPrice(void)
push    eax                   ;CFurniture::GetPrice(void)返回的结果入栈
push    offset Format         ;"price is %d"
call    ds:__imp__printf
add     esp, 

;CSofa * pSofa = &SofaBed;
lea     eax, [ebp-28h]        ;参照栈表可知，eax=address[ebp-28h]=this
mov     [ebp-30h], eax        ;指针变量pSofa在栈[ebp-30h]处，完成pSofa的赋值，即pSofa=this

;pSofa->SitDown();
mov     eax, [ebp-30h]        ;eax=pSofa=this
mov     edx, [eax]            ;edx=[this]=pvftable1
mov     ecx, [ebp-30h]        ;ecx传参,ecx=pSofa=this
mov     eax, [edx+]          
;eax=[pvftable1+4]=vftable1[2]----->CSofaBed::SitDown(void)
call    eax                   ;调用CSofaBed::SitDown(void)

CBed * pBed = &SofaBed;
lea     ecx, [ebp-28h]        ;参照栈表可知，ecx=address[ebp-28h]=this
add     ecx, 0Ch              ;ecx=this+0ch----->pvftable2
mov     [ebp-78h], ecx        ;
jmp     short loc_41142E ;---|
                            ;|
loc_41142E:;<----------------|
mov     edx, [ebp-78h]
mov     [ebp-34h], edx        
;指针变量pBed在栈[ebp-34h]处，完成pBed的赋值，即pBed=this+0ch----->pvftable2

pBed->Sleep();
mov     eax, [ebp-34h]        ;eax=this+0ch
mov     edx, [eax]            ;edx=[this+0ch]=pvftable2
mov     ecx, [ebp-34h]        ;ecx传参，ecx=this+0ch----->pvftable2
mov     eax, [edx+]          
;eax=[pvftable2+4]=vftable2[2]----->CSofaBed::Sleep(void)
call    eax                   ;调用CSofaBed::Sleep(void)