【学习逆向工程,分析机器代码】(二)(C++篇)

最新推荐文章于 2024-01-31 20:23:33 发布
最新推荐文章于 2024-01-31 20:23:33 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 我的作品 技术文档 文章标签: c++ class vc++ c exception 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baofeng/article/details/1587410
版权

【学习逆向工程,分析机器代码】(二)(C++篇)

by dreamerate


1、序


  大家好!再一次和大家见面了!我这次要告诉大家的是,一个C++程序产生的机器代码到底长什么样?通过这些代码及注释加以分析,您应该能了解C++程序的一些底层机制及CRT内幕!^_^

本篇算是根据ATField大侠的文章所衍生的续集!大家可访问ATField大侠的blog: http://blog.csdn.net/atfield/archive/2006/11/14/1382694.aspx,他可是一个很全面的高手哦!

  切入主题,由ATField大侠提供的简单C++小程序原代码,本人略作小许修改并重新进行了一次编译,然后再用OllyDbg进行了跟踪分析。发现在反汇编这些代码出入很大哦!终究其原因:编译器的差别(我用VC++6.0E,他用的是VC++8.0)。

例如像D8H的这个分配过程换来的而是8H,就两个MACHINE WORD(32位CPU的机器字。一个机器字占4个字节):

第一个是指向本对象地址,第二个搞不清楚是用来做什么用的(郁闷……),有谁知道吗?


2、一个具体而微的C++小程序


   包括内容:一个C++ entry point函数main及一个class。本文的中心思想是分析C++类机制。

------------------------------------------------------------------------

源程序如下:

#include <windows.h>
#include <stdio.h>

class my_class
{
public:
    my_class()
    {
        m_member = 1;
    }

    void method( int n )
    {
        m_member = n;
    }

    ~my_class()
    {
        m_member = 0;
    }
   
private:
    int m_member;
};


int main( int argc, char** argv )
{
    my_class a_class;
    printf( "I'm testor!" );
    a_class.method( 0x111 );
    return 0;
}

------------------------------------------------------------------------


3、编译


  在XP SP2环境下,开一个cmd.exe,键入VC6,进入我们的test.cpp目录,键入bcpp test,完成编译。
以下是vc6.bat及bcpp.bat的内容:

VC6.bat
-----------------------------------------------------------------------
@echo off
set VC6DIR=I:/Program Files/Microsoft Visual Studio/VC98
set include=I:/DXSDK/Include;%VC6DIR%/Include;%VC6DIR%/atl/include;%VC6DIR%/mfc/include
set lib=I:/DXSDK/Lib;%VC6DIR%/lib;%VC6DIR%/mfc/lib
set path=c:/;I:/Program Files/Microsoft Visual Studio/Common/MSDev98/Bin;%VC6DIR%/Bin
set %VC6DIR%=
echo on
-----------------------------------------------------------------------

bcpp.bat
-----------------------------------------------------------------------
@echo off
if exist %1.obj del %1.obj
if exist %1.exe del %1.exe
cl /c /Gz /GX %1.cpp
if not exist %1.obj goto EXITFLAG
link /machine:x86 /subsystem:console %1.obj user32.lib kernel32.lib gdi32.lib
if not exist %1.exe goto EXITFLAG
%1.exe
:EXITFLAG
-----------------------------------------------------------------------


4、逆向过程


   打开OllyDBG,加载test.exe,然后在00401000地址设置断点。按下F9后我们来到断点处,接着便是F8一路逐行分析代码:

-------- ---- ------------  -------------------------------------   ----------------------------------------------------
地址     流程 机器代码      汇编代码                                注释
-------- ---- ------------  -------------------------------------   ----------------------------------------------------

00401000  /$  55            push    ebp                             ;  保存旧的ebp
00401001  |.  8BEC          mov     ebp, esp                        ;  ebp保存当前栈的位置

00401003  |.  6A FF         push    -1                              ;  建立SEH链. ERR结构第三成员
00401005  |.  68 69684000   push    test.00406869                   ;  Structured Exception处理程序. ERR结构第二成员
0040100A  |.  64:A1 0000000>mov     eax, dword ptr fs:[0]           ;  fs:0指向当前线程的TEB
00401010  |.  50            push    eax                             ;  我们将它备份起来并且设为ERR结构第一成员
00401011  |.  64:8925 00000>mov     dword ptr fs:[0], esp           ;  建立当前的SEH的ERR结构(利用栈)

00401018  |.  83EC 08       sub     esp, 8                          ;  my_class a_class;
0040101B  |.  8D4D F0       lea     ecx, dword ptr ss:[ebp-10]      ;  a_class对象指针ECX
                                                                    ;  它指向值第一个private成员int m_member
0040101E  |.  E8 4D000000   call    test.00401070                   ;  呼叫构造函数

00401023  |.  C745 FC 00000>mov     dword ptr ss:[ebp-4], 0         ;  进入__try块,在Main中有一个隐式的__try/__except块

0040102A  |.  68 40804000   push    test.00408040                   ;  ASCII "I'm testor!"
0040102F  |.  E8 90000000   call    test.004010C4                   ;  printf
00401034  |.  83C4 04       add     esp, 4                          ;  释放前一个CALL的push

00401037  |.  68 11010000   push    111                             ; /Arg1 = 00000111
0040103C  |.  8D4D F0       lea     ecx, dword ptr ss:[ebp-10]      ; |                 <- a_class对象指针ECX
0040103F  |.  E8 4C000000   call    test.00401090                   ; /a_class.method

00401044  |.  C745 EC 00000>mov     dword ptr ss:[ebp-14], 0        ;  有谁知道这个DWORD是用来干什么的吗?

0040104B  |.  C745 FC FFFFF>mov     dword ptr ss:[ebp-4], -1        ;  标记TRY的正常结束

00401052  |.  8D4D F0       lea     ecx, dword ptr ss:[ebp-10]      ;  a_class对象指针ECX
00401055  |.  E8 56000000   call    test.004010B0                   ;  析构函数

0040105A  |.  8B45 EC       mov     eax, dword ptr ss:[ebp-14]      ;  ?奇怪哦!最接近ret的eax应该是本函数的返回值!
                                                                    ;  直接在最尾test eax, eax不就行了吗? 为什么要这样...
 
0040105D  |.  8B4D F4       mov     ecx, dword ptr ss:[ebp-C]       ;  恢复之前保存的TEB
00401060  |.  64:890D 00000>mov     dword ptr fs:[0], ecx

00401067  |.  8BE5          mov     esp, ebp                        ;  你知道...
00401069  |.  5D            pop     ebp

0040106A  /.  C3            retn                                    ;  恢复CALL影响的STACK及定位EIP

--------------------------------------------------------------------------------------------------

00401070  /$  55            push    ebp                             ;  my_class类构造函数
00401071  |.  8BEC          mov     ebp, esp
00401073  |.  51            push    ecx
00401074  |.  894D FC       mov     dword ptr ss:[ebp-4], ecx
00401077  |.  8B45 FC       mov     eax, dword ptr ss:[ebp-4]
0040107A  |.  C700 01000000 mov     dword ptr ds:[eax], 1
00401080  |.  8B45 FC       mov     eax, dword ptr ss:[ebp-4]
00401083  |.  8BE5          mov     esp, ebp
00401085  |.  5D            pop     ebp
00401086  /.  C3            retn

--------------------------------------------------------------------------------------------------

00401090  /$  55            push    ebp                             ;  void my_class::method(int n)
00401091  |.  8BEC          mov     ebp, esp
00401093  |.  51            push    ecx
00401094  |.  894D FC       mov     dword ptr ss:[ebp-4], ecx
00401097  |.  8B45 FC       mov     eax, dword ptr ss:[ebp-4]
0040109A  |.  8B4D 08       mov     ecx, dword ptr ss:[ebp+8]       ;  参数int n
0040109D  |.  8908          mov     dword ptr ds:[eax], ecx
0040109F  |.  8BE5          mov     esp, ebp
004010A1  |.  5D            pop     ebp
004010A2  /.  C2 0400       retn    4

--------------------------------------------------------------------------------------------------

004010B0  /$  55            push    ebp                             ;  my_class类析构函数
004010B1  |.  8BEC          mov     ebp, esp
004010B3  |.  51            push    ecx
004010B4  |.  894D FC       mov     dword ptr ss:[ebp-4], ecx
004010B7  |.  8B45 FC       mov     eax, dword ptr ss:[ebp-4]
004010BA  |.  C700 00000000 mov     dword ptr ds:[eax], 0
004010C0  |.  8BE5          mov     esp, ebp
004010C2  |.  5D            pop     ebp
004010C3  /.  C3            retn

--------------------------------------------------------------------------------------------------

004010C4  /$  53            push    ebx                             ;  CRT函数printf
004010C5  |.  56            push    esi
004010C6  |.  BE 90804000   mov     esi, test.00408090
004010CB  |.  57            push    edi
004010CC  |.  56            push    esi
004010CD  |.  E8 20050000   call    test.004015F2
004010D2  |.  8BF8          mov     edi, eax
004010D4  |.  8D4424 18     lea     eax, dword ptr ss:[esp+18]
004010D8  |.  50            push    eax
004010D9  |.  FF7424 18     push    dword ptr ss:[esp+18]
004010DD  |.  56            push    esi
004010DE  |.  E8 D9050000   call    test.004016BC
004010E3  |.  56            push    esi
004010E4  |.  57            push    edi
004010E5  |.  8BD8          mov     ebx, eax
004010E7  |.  E8 93050000   call    test.0040167F
004010EC  |.  83C4 18       add     esp, 18
004010EF  |.  8BC3          mov     eax, ebx
004010F1  |.  5F            pop     edi
004010F2  |.  5E            pop     esi
004010F3  |.  5B            pop     ebx
004010F4  /.  C3            retn
-------------------------------------------------------------------------------------------------------------------


5、总结


   懒得写了,哥们看注释吧!:)

风里有梦
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【逆向】从逆向角度C++
weixin_49816179的博客
01-02 1769
从逆向角度观察C++,了解程序执行时的内部机理。
逆向工程】C/C++的反汇编表示详解(1)函数调用,栈平衡,变量与参数的内存布局
L2510408497的博客
07-06 3699
很多人学完汇编,去看C/C++的反汇编就会很懵,发现单独看一条指令看的明明白白,但连在多条指令连在一起就不知道有什么作用了,如 push ebp mov ebp,esp sub esp,40h lea edi,[ebp-40h] mov ecx,10h mov eax,0CCCCCCCCh rep stos dword ptr [edi] 这里用VC6.0是最好的,更能看出本质,VS系列也可以,VS的话
汇编call指令详解_恶意代码分析之对抗反汇编技巧入门
weixin_39617484的博客
11-23 445
在做恶意样本静态分析的时候会有一些样本,使用对抗反汇编的方法,一般的对抗反汇编的方法就是加壳,这里我就不介绍了,我这里说两个比较简单的对抗反汇编的方法,一种使用:无效指令,一种使用:花指令。使用无效指令,对抗反汇编,使用IDA打开恶意样本之后,如下所示:00401010处的CALL指令,跳转到一个错误的地址处,很明显是IDA解析出了问题,我们可以看看它的机器码:相应的机器码:E8 8B...
利用Rational Rose进行C++代码逆向工程介绍
技术改变人生
09-01 1510
2004年10月,IBM推出了支持最新的UML2.0的可视化建模工具 Rational Software Architect(见注释①) 和IBM Rational Software Modeler(见注释②)。虽然它们支持在建模功能上有了更好的改进、支持了更新的标准,但是R
C++程序正向编译逆向反编译(一)
最新发布
dzqxwzoe的博客
01-31 3984
并不是windows系统自带的保护机制,并不是说一个确实存在溢出漏洞的程序,放到带securitycookie保护的环境中,就不能正常溢出了。其原理是在所有变量入栈前,多压入一个变量(随机数),然后函数执行完之后,再去检查这个数是不是一样的,这也是一个编译器行为,_RTC_CheckStackVars第一个参数是函数要检查的栈顶地址,第个参数指向结构体_RTC_framedesc。该结构体第一个参数是压栈的局部变量个数,第个参数保存局部变量相关信息。分别是变量的栈偏移地址,变量大小和变量的名字。
用C/C++实现SMC动态代码加密技术
02-04
所谓SMC(SelfModifyingCode)技术,就是一种将可执行文件中的代码或数据进行加密,防止别人使用逆向工程工具(比如一些常见的反汇编工具)对程序进行静态分析的方法,只有程序运行时才对代码和数据进行解密,从而...
逆向工程师的十六进制编辑器-C/C++开发
05-26
逆向工程师的十六进制编辑器逆向工程师的十六进制编辑器用于逆向工程以及其他所有内容的跨平台(Windows,Linux,Mac)十六进制编辑器。 功能大型(1TB +)文件支持整数/浮点值类型的解码机器代码的反汇编突出显示和...
C++ 逆向工程生成UML模型图.docx
11-11
C++逆向工程是软件开发过程中的一项重要技术,它能够从已有的源代码中提取出结构信息,生成UML(统一建模语言)模型图,帮助开发者理解代码结构,进行系统分析和设计优化。Rational Rose作为一款强大的UML建模工具,...
re-for-beginners 逆向工程入门指南
04-29
3. **反汇编与调试**:使用反汇编器(如IDA Pro、OllyDbg或Ghidra)将机器代码转换成人类可读的汇编语言是逆向工程的关键步骤。同时,掌握调试器的使用是理解程序执行流程的关键。 4. **动态分析**:通过运行时分析...
逆向C++ 逆向工程
09-23
逆向C++ 逆向工程 逆向C++ 逆向工程
基于点云数据的逆向工程
04-27
逆向工程数据获取、数据预处理、曲面重构等三部分。本文以实物的数字化模型重构为主要研究内容,分析了国内外学者在逆向工程领域的研究现状。
逆向工程角度来看 C++(看雪)
02-10
逆向工程角度来看 C++(看雪)
StarUML(4.0.1版本)利用C++代码逆向工程生成类图
热门推荐
你的问题在于,读书太少而想得太多。
05-08 1万+
最近,用到了StarUML去逆向生成类图。查了一下,网上的资料并不是很多,而且大部分都是3.0版本的,用的时候不是很方便,而且自己也踩了一些坑,在此总结一下,用StarUML的4.0.1版本(目前的最新版本)逆向生成类图的操作。 首先,下载StarUML,由于这个软件是开源的,所以不需要去各网站去找百度网盘的安装包,直接官网下载就好,用评估版本是免费的(起码绘制类图是足够了)。 这里给出官网链接 https://staruml.io/. 点击download直接下载就好了,当然可以自己设置好下载路径; !
关于C++项目UML逆向工程
happy08god的专栏
12-15 2885
  近来工作中接触到了一些没有什么文档的项目代码。于是考虑:是否有一些工具,可以根据项目代码,帮我们梳理项目框架和代码流程?    经过搜索,还真的找到了一些资料。关于JAVA逆向工程的文章,好像比较多。C++部分就比较少了。至于C语言,由于不是面向对象语言,没有直接的UML工具可以用来做逆向工程分析。    至于逆向工程的作用到底有多大,说实话,个人还真的没有经验。在这里只是记录一下,以便以...
利用rational rose做c++逆向工程之备忘
followshake的专栏
03-23 2796
1. ANSI C++(标准C++逆向工程(Reverse Engineer)使用标准C++逆向工程,需要在组件图(component view)中创建一个组件(component),设置好需要进行转换的组件的信息,也就是该组件的语言、所包含的文件、文件所在的路径、文件后缀等等信息,然后Reverse Engineer就可以根据给定的信息将代码转换成类图了。 a) 右键点击组件视图(Com
逆向工程】C/C++的反汇编表示详解(2) 整数,字符串,分支语句
L2510408497的博客
07-15 933
逆向工程】C/C++的反汇编表示详解(1) 目录整数类型级目录三级目录 整数类型 整数类型在计算机中以补码的形式保存 int x=-1 //0xFFFFFFFF 1111 1111 1111 1111 1111 1111 1111 1111 char x=-1 //0xFF 1111 1111 char x=1 //0x01 0000 0001 有符号数和无符号数存储范围 signed char x=1 // 0~127 -128~-1 unsigned char x=1 //0~25
C函数调用与堆栈的变化
hellotjc的专栏
01-17 718
blog试图讲明当一个c函数被调用时,一个栈帧(stack frame)是如何被建立,又如何被消除的。这些细节跟操作系统平台及编译器的实现有关,下面的描述是针对运行在Intel奔腾芯片上Linux的gcc编译器而言。c语言的标准并没有描述实现的方式,所以,不同的编译器,处理器,操作系统都可能有自己的建立栈帧的方式。   一个典型的栈帧         ESP==>|
逆向工程源码加详解
java初期
07-23 2423
什么逆向工程:即根据数据库自动生成实体类以及mapper、mapper.xml文件 那么什么时候可以用到呢?        对于以为一位初学者来说。你进入公司不可能一进入就是项目组长吧。肯定要一步一步的做起来,比如一个项目项目组长给你建好了数据库,字段已经建好,那我们总不能看着数据库去一个一个的去建实体类和数据库的操作。就出现了逆向工程,我们可以根据项目组长的数据库字段,建立相应的实体类 xm...
逆向工程从0到1 如何实现?
02-28
以下是一些学习逆向工程的基本步骤和建议: 1. 掌握基础知识:学习计算机基础知识,如操作系统、汇编语言、C/C++等编程语言、计算机网络等。 2. 了解常见逆向工具:学习常见的逆向工具,如IDA Pro、OllyDbg、GDB、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值