if语句分析

1.if语句的反汇编判断

if语句反汇编后的标志：

    执行各类影响标志位的指令        

    jxx xxxx

如果遇到上面的指令，则很可能是if语句；

 

例如：

    1、案例一                                

    mov         eax,dword ptr [ebp+8]                    分析：cmp指令 影响标志位            

    cmp         eax,dword ptr [ebp+0Ch]                    jle ：小于或者等于就跳转到00401059            

    jle         00401059                                

                                    

    2、案例二                                

    mov         eax,dword ptr [ebp+8]                    分析：cmp指令 影响标志位            

    cmp         eax,dword ptr [ebp+0Ch]                    jl  ：小于则跳转            

    jl          00401059                                

                                    

    3、案例三                                

    mov         eax,dword ptr [ebp+8]                    jge ：大于或者等于则跳转            

    cmp         eax,dword ptr [ebp+0Ch]                                

    jge         00401059                                

                                    

    4、案例四                                

    mov         eax,dword ptr [ebp+8]                    jg ：大于则跳转            

    cmp         eax,dword ptr [ebp+0Ch]                                

    jg          00401059    

 

函数反汇编分析实例：

 

2.if...else语句的反汇编判断

反汇编标志性语句：

IF_BEGIN:                                           

    先执行各类影响标志位的指令                                        

    jxx ELSE_BEGIN                                      

    ......                                        

IF_END:                                        

    jmp END                                        

    ELSE_BEGIN：                                      

    ......                                        

    ELSE_END：                                    

END：    

 

特点分析： 

    1、如果不跳转，那么会执行到jmp处，jmp直接跳转到END处                        

    2、如果跳转，则会直接跳过jmp END处的代码，直接执行后面的代码   

 

总结： 

    跳转执行一部分代码，不跳转执行另外一部分代码     

    第一个jxx跳转的地址前面有一个jmp ,可以判断是if...else...语句  

 

例如：

 

3.IF...ELSE IF...ELSE IF..多分支语句的反汇编判断               

    IF_BEGIN:                

        影响标志位的指令            

        jxx ELSE_IF_BEGIN            

        ......            

    IF_END:                

        jmp END            

    ELSE_IF_BEGIN:                

        影响标志位的指令            

        jxx ELSE_BEGIN            

        ......            

    ELSE_IF_END:                

        jmp END            

    ELSE_BEGIN:                

        ......            

                    

    ELSE_END:                

    END:                

        ......       

 

分析：                

    1、当每个条件跳转指令要跳转的地址前面都有jmp 指令                

    2、这些jmp指令跳转的地址都是一样的                

    3、如果某个分支没有条件判断，则为else部分

 

4.函数内部功能分析

函数反汇编代码：

 

1、分析参数    

a=[ebp+8],b=[ebp+10],c=[ebp+c];

 

2、分析局部变量    

x=0,y=1,z=2;   

 

3、分析全局变量  

没看到直接寻址所以没有全局变量；

    

4、功能分析  

if(a<=c){

}else if(c>=b){

} else if(a>b){

}else{} 

    

5、返回值分析 

返回x+1   

    

6、还原成C函数    

if(a<=c){

    x=y-1;

}else if(c>=b){

    x=z+1;

} else if(a>b){

    x=y+z;

}else{

    x=y+z-1;

}

return x+1;