很久没有写过文章了,自己一直是做C/C++开发的,我一直认为,作为一个C/C++程序员,如果能够好好学一下汇编和逆向分析,那么对于我们去理解C/C++将会有很大的帮助,因为程序中所有的奥秘都藏在汇编中,很多问题我们从表面上无法看出到底是为什么,只要用逆向工具一分析,很快就能知道其中的所以然来。我们都知道虚函数表是放在类对象的最前面,但是很多人并不知道虚函数表的第一项存放的是什么,下面我用IDA分析一下C++的虚函数调用,从汇编的角度去理解虚函数。此文只适合具有逆向分析基础的读者,如果没有逆向分析基础,请直接绕过。有如下C++代码:

class Test

{

public:

    Test()

    {

        printf("Test::Test\n");

    }

    virtual ~Test()

    {

        printf("Virtual ~Test()\n");

    }

    virtual void prointer()=;

    virtual void pointf()=;

};

class TestA:public Test

{

public:

    TestA()

    {

        printf("TestA::TestA\n");

    }

    virtual ~TestA()

    {

        printf("TestA::TestA\n");

    }

    virtual void prointer()

    {

        printf("Derive Class TestA::Pointer\n");

    }

    virtual void pointf()

    {

        printf("Derive Class TestA::Pointf\n");

    }

};

int _tmain(int argc, _TCHAR* argv[])

{

    TestA *pTest=new TestA;

    pTest->pointf();

    pTest->prointer();

    delete pTest;

    return ;

}

用IDA打开EXE文件,用流程图模式显示:

运行到调用new的地方:

一层一层跟进去,我们会发现,new的内部其实就是调用的malloc进行内存分配,msvcr100d_malloc便是malloc函数:

往下走,发现如下指令:

text:00C3149F call    j_??@YAPAXI@Z_0                ; operator new(uint)

.text:00C314A4 add     esp,

.text:00C314A7 mov     [ebp+this], eax

.text:00C314AD mov     [ebp+var_4],

.text:00C314B4 cmp     [ebp+this],

.text:00C314BB jz      short loc_C314D0

.text:00C314BD mov     ecx, [ebp+this]                 ; this

.text:00C314C3 call    j_??0TestA@@QAE@XZ              ; TestA::TestA(void)

.text:00C314C8 mov     [ebp+var_10C], eax              ; new的返回值赋给[epb+var_10C]

.text:00C314CE jmp     short loc_C314DA                ; eax=this

.text:00C314D0 ; ---------------------------------------------------------------------------

.text:00C314D0

.text:00C314D0 loc_C314D0:                             ; CODE XREF: _wmain+5Bj

.text:00C314D0 mov     [ebp+var_10C],

.text:00C314DA

.text:00C314DA loc_C314DA:                             ; CODE XREF: _wmain+6Ej

.text:00C314DA mov     eax, [ebp+var_10C]              ; eax=this

.text:00C314E0 mov     [ebp+var_104], eax              ; [ebp+var_104]=this

.text:00C314E6 mov     [ebp+var_4], 0FFFFFFFFh

.text:00C314ED mov     ecx, [ebp+var_104]              ; ecx=this

.text:00C314F3 mov     [ebp+pTest], ecx                ; [ebp+pTest]=this

.text:00C314F6 mov     eax, [ebp+pTest]                ; eax=this

.text:00C314F9 mov     edx, [eax]

.text:00C314FB mov     esi, esp

.text:00C314FD mov     ecx, [ebp+pTest]

.text:00C31500 mov     eax, [edx+]                    ; eax=this+

.text:00C31503 call    eax                             ; 调用this+8处的代码

跟进去,发现如下指令:

text:00C31820 push    ebp

.text:00C31821 mov     ebp, esp

.text:00C31823 sub     esp, 0CCh

.text:00C31829 push    ebx

.text:00C3182A push    esi

.text:00C3182B push    edi

.text:00C3182C push    ecx

.text:00C3182D lea     edi, [ebp+var_CC]

.text:00C31833 mov     ecx, 33h

.text:00C31838 mov     eax, 0CCCCCCCCh

.text:00C3183D rep stosd

.text:00C3183F pop     ecx

.text:00C31840 mov     [ebp+this], ecx

.text:00C31843 mov     esi, esp

.text:00C31845 push    offset aDeriveClassT_0          ; "Derive Class TestA::Pointf\n"

.text:00C3184A call    ds:__imp__printf

.text:00C31850 add     esp,

.text:00C31853 cmp     esi, esp

.text:00C31855 call    j___RTC_CheckEsp

.text:00C3185A pop     edi

.text:00C3185B pop     esi

.text:00C3185C pop     ebx

.text:00C3185D add     esp, 0CCh

.text:00C31863 cmp     ebp, esp

.text:00C31865 call    j___RTC_CheckEsp

.text:00C3186A mov     esp, ebp

.text:00C3186C pop     ebp

.text:00C3186D retn

.text:00C3186D ?pointf@TestA@@UAEXXZ endp

这就是pTest->pointf();调用的汇编代码,继续往下走:

调用了[edx+4]其实也就是this+4处的代码,跟进去,代码如下:

.text:00C517B0 push    ebp

.text:00C517B1 mov     ebp, esp

.text:00C517B3 sub     esp, 0CCh

.text:00C517B9 push    ebx

.text:00C517BA push    esi

.text:00C517BB push    edi

.text:00C517BC push    ecx

.text:00C517BD lea     edi, [ebp+var_CC]

.text:00C517C3 mov     ecx, 33h

.text:00C517C8 mov     eax, 0CCCCCCCCh

.text:00C517CD rep stosd

.text:00C517CF pop     ecx

.text:00C517D0 mov     [ebp+this], ecx

.text:00C517D3 mov     esi, esp

.text:00C517D5 push    offset aDeriveClassTes          ; "Derive Class TestA::Pointer\n"

.text:00C517DA call    ds:__imp__printf

.text:00C517E0 add     esp,

.text:00C517E3 cmp     esi, esp

.text:00C517E5 call    j___RTC_CheckEsp

.text:00C517EA pop     edi

.text:00C517EB pop     esi

.text:00C517EC pop     ebx

.text:00C517ED add     esp, 0CCh

.text:00C517F3 cmp     ebp, esp

.text:00C517F5 call    j___RTC_CheckEsp

.text:00C517FA mov     esp, ebp

.text:00C517FC pop     ebp

.text:00C517FD retn

.text:00C517FD ?prointer@TestA@@UAEXXZ endp

以上其实就是调用pTest->prointer();的汇编代码,继续往下执行:

这里调用的就是this处的指令,跟进去,有如下指令:

text:011D1890 push    ebp

.text:011D1891 mov     ebp, esp

.text:011D1893 sub     esp, 0CCh

.text:011D1899 push    ebx

.text:011D189A push    esi

.text:011D189B push    edi

.text:011D189C push    ecx

.text:011D189D lea     edi, [ebp+var_CC]

.text:011D18A3 mov     ecx, 33h

.text:011D18A8 mov     eax, 0CCCCCCCCh

.text:011D18AD rep stosd

.text:011D18AF pop     ecx

.text:011D18B0 mov     [ebp+this], ecx

.text:011D18B3 mov     ecx, [ebp+this]                 ; this

.text:011D18B6 call    j_??1TestA@@UAE@XZ              ; TestA::~TestA(void)

.text:011D18BB mov     eax, [ebp+arg_0]

.text:011D18BE and     eax,

.text:011D18C1 jz      short loc_11D18CF

.text:011D18C3 mov     eax, [ebp+this]

.text:011D18C6 push    eax                             ; void *

.text:011D18C7 call    j_??@YAXPAX@Z_0                ; operator delete(void *)

.text:011D18CC add     esp,

此处就是析构函数调用的地方,综上所述,我们可以得出结论,new最终是调用的malloc进行内存分配,在虚函数表中,虚析构函数是放在最前面的。当然这只是最简单的类继承体系,而且有些地方写得不够详细,大家可以自己动手写代码用IDA去进行逆向分析,探索其中的奥秘,以上只是本人的一些理解,如果有不合理的地方欢迎大家指正,希望能和大家共同学习,共同进步。

从逆向的角度去理解C++虚函数表的更多相关文章

  1. 深入理解C++虚函数表

    虚函数表是C++类中存放虚函数的一张表,理解虚函数表对于理解多态很重要. 本次使用的编译器是VS2013,为了简化操作,不用去操作函数指针,我使用到了VS的CL编译选项来查看类的内存布局. CL使用方 ...

  2. 我理解的C++虚函数表

    今天拜读了陈皓的C++ 虚函数表解析的文章,感觉对C++的继承和多态又有了点认识,这里写下自己的理解.如果哪里不对的,欢迎指正.如果对于C++虚函数表还没了解的话,请先拜读下陈皓的C++ 虚函数表解析 ...

  3. 从需求的角度去理解Linux系列:总线、设备和驱动

    笔者成为博客专家后整理以前原创的嵌入式Linux系列博文,现推出以让更多的读者受益. <从需求的角度去理解linux系列:总线.设备和驱动>是一篇有关如何学习嵌入式Linux系统的方法论文 ...

  4. 深入理解类成员函数的调用规则(理解成员函数的内存为什么不会反映在sizeof运算符上、类的静态绑定与动态绑定、虚函数表)

    本文转载自:http://blog.51cto.com/9291927/2148695 总结: 一.成员函数的内存为什么不会反映在sizeof运算符上?             成员函数可以被看作是类 ...

  5. 对C++虚函数、虚函数表的简单理解

    一.虚函数的作用 以一个通用的图形类来了解虚函数的定义,代码如下: #include "stdafx.h" #include <iostream> using name ...

  6. C++虚函数表理解

    一,思维模式图 二,代码验证 class A { public: A(int x) { fProtected = x; } float GetFProtected() { return fProtec ...

  7. C++ 类的存储方式以及虚函数表

    一.C++成员函数在内存中的存储方式 用类去定义对象时,系统会为每一个对象分配存储空间.如果一个类包括了数据和函数,要分别为数据和函数的代码分配存储空间.按理说,如果用同一个类定义了10个对象,那么就 ...

  8. C++虚函数表和对象存储

    C++虚函数表和对象存储 C++中的虚函数实现了多态的机制,也就是用父类型指针指向其子类的实例,然后通过父类的指针调用实际子类的成员函数,这种技术可以让父类的指针有"多种形态",这 ...

  9. C++迟后联编和虚函数表

    先看一个题目: class Base { public: virtual void Show(int x) { cout << "In Base class, int x = & ...

随机推荐

  1. Visual Studio Developer Assistant 3月新功能展示

    Visual Studio Developer Assistant 3月添加了以下新功能: https://visualstudiogallery.msdn.microsoft.com/a116671 ...

  2. Jenkins2 - 下载与启动

    文章来自:http://www.ciandcd.com 文中的代码来自可以从github下载: https://github.com/ciandcd 本文将引导jenkins初学者安装和配置jenki ...

  3. Objective-C与C style语言的简单类比

    1. 关于Objc中函数调用类比 [_lblHelloWorld setHidden:![_lblHelloWorld isHidden]]; 类比为: _lblHelloWorld.setHidde ...

  4. 虚拟机VirtualBox中centos6.5网络设置

    一.虚拟机网络配置 默认只是设置了网卡1:方式NAT(对应ifcfg-eth0) 我们还可以设置网卡2,网卡3.可以在系统安装完成后设置. 网卡2设置回环网卡,实现虚拟机与宿主机组成局域网(对应ifc ...

  5. django with mysql (part-4)

    step01: write the ( views.py ) again .. vim views.py step02: configure your (urls.py) step03: check ...

  6. paip.提升性能---协程“微线程”的使用.

    paip.提升性能---协程的使用. 近乎无限并发的"微线程" 作者Attilax  艾龙,  EMAIL:1466519819@qq.com 来源:attilax的专栏 地址:h ...

  7. Atitit.auto complete 自动完成控件的实现总结

    Atitit.auto complete  自动完成控件的实现总结 1. 框架选型 1 2. 自动完成控件的ioc设置 1 3. Liger  自动完成控件问题 1 4. 官网上的code有问题,不能 ...

  8. MySQL分库分表总结参考

    单库单表 单库单表是最常见的数据库设计,例如,有一张用户(user)表放在数据库db中,所有的用户都可以在db库中的user表中查到. 单库多表 随着用户数量的增加,user表的数据量会越来越大,当数 ...

  9. iOS开发——高级技术&通讯录服务

    通讯录服务 AddressBook iOS中带有一 个Contacts应用程序来管理联系人,但是有些时候我们希望自己的应用能够访问或者修改这些信息,这个时候就要用到 AddressBook.frame ...

  10. Maven系列--"maven-compiler-plugin"的使用

    maven是个项目管理工具,如果我们不告诉它我们的代码要使用什么样的jdk版本编译的话,它就会用maven-compiler-plugin默认的jdk版本来进行处理,这样就容易出现版本不匹配的问题,以 ...