C语言与汇编语言对照分析

游戏通常会包含各种各样的功能，如战斗系统、UI渲染、经济系统、生产系统等，每个系统又包含各式各样子功能，如伤害判定、施法、使用道具、角色移动、玩家之间交易等等。这些游戏功能在代码实现中往往少不了条件判断（如伤害判定）、循环（遍历物品列表，播放游戏动画）等。

在逆向过程中如果可以从汇编语言识别出对应的语法结构，在分析过程中将汇编代码转换为C语言语法结构，可以帮助对程序执行流程的理解。

下面分别介绍最常见的逻辑语法结构：

a) if...else

b) switch...case

c) for、while

注：文中使用的反汇编工具为IDA

一、 if...else

汇编代码：

if...else结构比较固定，通常包含cmp指令、jcc指令以及满足条件后执行的指令块。

if...else结构可以串联，串联后的if...else有明显的代码块边界，逆向工具通常可以将代码块标识出来（图中虚线）。

二、 switch...case

1. 一个简单switch...case

　　

汇编代码：

上图显示了switch...case基本的结构：a) 跳转表达式；b) 分支代码；c) 跳转表

a) 跳转表达式

其中loc_401235代码块对应switch...case中default分支。

当nGameEvent > 4时，跳转到loc_401235代码块，即default分支。

当nGameEvent <= 4时，根据跳转表达式进行跳转：

jmp     ds:off_40123C[nGameEvent*4]

其中off_40123C为跳转表地址，跳转表中每一项代表一个32位地址（4个字节），当nGameEvent为0按第一项地址跳转，当nGameEvent为1按第二项地址跳转，依次类推。

b) 分支代码

各个分支的处理逻辑都在这里，示例代码中仅仅简单的调用对应函数。
（PS：这里用jmp而不用call是编译器优化的结果）

c) 跳转表

跳转表实际是一个地址数组，存放了每个跳转分支的地址（32位绝对地址），当nGameEvent为0时，跳转表达式读取数组中第一项数据（0x0040121C）,即

.text:0040121C E9 8F FF FF+     jmp     ?DoLogin@@YAXXZ

调用DoLogin函数。

（PS: 实际运行时，由于随机化基址，从调试器看到的跳转表内容可能与静态分析时不同，这是重定位引起的，关于重定位的原理可以参考相关文档，这里不再详述）

1. 不连续的switch...case

上面的示例中case的值是连续的，因此跳转表比较规则。在实际使用中可能会遇到不规则的case值，如下图：

汇编代码：

上面的代码有两个特点：

1. 最小case值非0
   上图中最小case值为3，为了不浪费跳转表空间，编译器会将索引值减去3保证最小的case值对应跳转表中的第一项。

　　2.case值不连续
　　编译器会在跳转表间隔中插入default跳转，保证逻辑正确。(以空间换取时间)

　　3.双重跳转表

汇编代码：

相对于前一个示例，此处case值间隔更大。如果按照之前的方法，跳转表的大小需要（110-30 + 1）* 4 = 324字节，占用内存空间大。

编译器为了节省空间，使用了双重跳转：跳转表、间接跳转表。其中跳转表与之前介绍的跳转表一致，而间接跳转表保存的不是分支地址，而是索引值，指向跳转表中的索引。

跳转表：

间接跳转表：

在进入switch...case时，先算根据间接跳转表获得索引号，再根据索引号查找跳转表，获取实际分支地址。

使用双重跳转表后，实际占用空间：5*4 +（110 – 30 + 1）= 101字节，大大减少空间占用。

1. swtich...case退化

当case值间隔过大，使用跳转表、双重跳转表消耗的空间太大，编译器会将switch...case退化为if...else，如下图：

汇编代码：

这里没有跳转表结构，只剩下cmp/jcc指令，可见编译器已经将swtich...case转换为等价的if...else。但在转换过程中，编译还是做了力所能及的优化：通过二叉查找法加快跳转分支的查找。

1. 嵌套switch...case

汇编代码：

可以看出嵌套的switch...case结构在汇编代码上是相对独立的，外层和内层switch结构有各自的跳转表。

外层跳转表：

内存跳转表（双重跳转表）：

根据跳转表中的地址项，也可以清楚的区分外层和内层的跳转分支。

三、 循环语句

a) for循环

汇编代码：

其中nop dword ptr[eax+00h] 为指令对齐，没有实际意义。循环的汇编实现为：

b) while循环

汇编代码：

其中nop dword ptr[eax+eax+00h] 为指令对齐，没有实际意义。循环的汇编实现为：

从上面可以看出，for和while结构的汇编实现几乎一摸一样，仅仅是使用的寄存器有些区别。实际逆向过程中将循环映射为for或者while结构都是可以的。同时还可以看出，循环有个明显的特征：往回跳转（向地址小的方向跳转），大部分情况下遇到往回跳转的指令就是循环，极少数如编译器代码结构优化生成的往回跳转不是循环除外。

四、 总结

语法结构对应的汇编代码与编译器有很大关系，同一份源代码不同编译器生成的汇编代码结构不一样；即使是同一个编译器，不同的编译选项生成的汇编代码结构也不尽相同。需要在逆向过程中慢慢熟悉编译器的特性。

*转载请注明来自游戏安全实验室（GSLAB.QQ.COM）