除法运算逆向分析

除法运算逆向分析

---

由于除法指令的指令周期较长，效率低，所以编译器想尽办法用其他指令组合代替除法指令。所以C/C++除法运算的逆向分析较其他运算复杂很多，在此做一下总结

---

相关数学公式

当b>0时有，

⌊ab⌋=⌈a−b+1b⌉

$$\left\lfloor\frac{a}{b}\right\rfloor=\left\lceil \frac{a-b+1}{b}\right\rceil$$
且
$$\left\lceil\frac{a}{b}\right\rceil=\left\lfloor \frac{a+b-1}{b}\right\rfloor$$
当b<0时，有，
$$\left\lfloor\frac{a}{b}\right\rfloor=\left\lceil \frac{a-b-1}{b}\right\rceil$$
且
$$\left\lceil\frac{a}{b}\right\rceil=\left\lfloor \frac{a+b+1}{b}\right\rfloor$$

---

1.除数为2的幂

sar指令相当于向下取整，即$\left \lfloor \frac{x}{2^n} \right\rfloor$，而C语言除法结果是向零取整，即$\left [ \frac{x}{2^n} \right ]$。
所以有：

$$\left [ \frac{x}{2^n} \right ] = \left\{\begin{matrix} \left\lfloor\frac{x}{2^n}\right\rfloor & x\geq0 \\ \left\lceil\frac{x}{2^n}\right\rceil=\left\lfloor\frac{x+2^n-1}{2^n}\right\rfloor & x<0 \end{matrix}\right.$$
下面看例子：

//.c
printf("nVarOne/8=%d",nVarOne/8);

编译后反汇编：

;.asm
 mov    eax,dword ptr [ebp-4]
 cdq
 and    edx,7
 add    eax,edx
 sar    eax,3
...

and edx,7使得当nVarOne为负数时edx内容为$2^n-1$，当nVarOne为正数时edx为0，最后sar eax,3相当于除以$2^n$。

---

2.除数为负的2的幂

直接给例子：

//.c
printf("nVarOne/-8=%d",nVarOne/-8);

编译后反汇编：

;.asm
 mov    eax, [esp+4]
 cdq
 and    edx,7
 add    eax,edx
 sar    eax,3
 neg    eax
...

除了最后一句其余和上面相同， neg eax相当于对计算结果取负。

---

接下来讨论难点3和4

3.除数为非2的幂

下面举例由汇编逆向推C代码：

---

情景1（MagicNumber$\leqslant$0x7FFFFFFF）

易得公式，

$$\frac{x}{o}\Leftrightarrow x * \frac{2^n}{o} * \frac{1}{2^n}$$
令 $c=\frac{2^n}{o}$，这个值被称为Magic Number。于是就有
$$\frac{x}{o}\Leftrightarrow x * \frac{2^n}{o} * \frac{1}{2^n}\Leftrightarrow \frac{x*c}{2^n}$$

_main proc near
arg_0= dword ptr 4
    mov     ecx,[esp+arg_0]
    mov     eax,38E38E39h
    imul    ecx
    sar     edx,1
    mov     eax,edx
    shr     eax,1Fh
    add     edx,eax
    push    edx
    push    offset Format   ;"%d
    call    _printf
    add     esp,8
    retn
_main   endp

其中，sar edx,1算术右移1位， shr eax,1Fh逻辑右移31位。
首先，ecx获取参数，eax获取魔数，(edx,eax)=eax*ecx，乘积低4B的eax内容抛弃，只使用乘积高4B的edx内容，这样就相当于乘积右移32位，再加上sar edx,1右移的1位，共右移33位，即n=33，mov eax,edx与shr eax,1Fh用来取得乘积结果符号位，乘积为正时eax存放00000000h，乘积位负时存放00000001h。最后，add edx,eax的原因是：
当$x<0且[\frac{x}{o}]不为整数时$，有

$$[\frac{x}{o}]=\lceil \frac{x*c}{2^n}\rceil=\lfloor \frac{x*c}{2^n} \rfloor+1$$
(这里我认为只要x<0，编译器能够确认 $\frac{x*c}{2^n}$这里必定不是整数)
$\therefore o=\frac{2^n}{c}=\frac{2^{33}}{38E38E39h}=8.999999……\approx 9$，推导出C代码，

printf("%d",argc/9);

小结：

;x*(2^n/o)
 mov    eax,MagicNumber
 imul   ...
;/2^n
 sar    edx, ...
 mov    reg,edx
 shr    reg,1Fh
;负数调整
 add    edx,reg

当遇到以上指令序列，基本可判定是除法优化后的代码。MagicNumber<=7fffffffh，编译器在imul和sar之间未产生任何调整指令，故认定除数为正数。统计右移总次数确定公式中的n值，使用公式$o=\frac{2^n}{c(魔数)}$得到除数o的近似值。即可恢复除法原型。

---

情景2（MagicNumber$\leqslant$0x7FFFFFFF）

易得公式，

$$\frac{x}{o}\Leftrightarrow x * \frac{2^{32}+\frac{2^{32+n}}{o}-2^{32}}{2^{32+n}}$$
此式中，魔数 $c=\frac{2^{32+n}}{o}-2^{32}$

_main proc near
arg_0= dword ptr 4
 mov     ecx,[esp+arg_0]
 mov     eax,24924925h
 mul    ecx
 sub     ecx,edx
 shr     ecx,1
 add     ecx,edx
 shr     ecx,2
 push   ecx
 push   offset  Format ;"nVarTwo/7=%d\r\n"
 call   _printf
 add     esp,8
 xor     eax,eax
 retn
_main endp

sub ecx,edx，shr ecx,1，add ecx,edx，shr ecx,2这4句可以用一个计算式来表示：

$$\frac{\frac{x-\frac{x*c}{2^{32}}}{2}+\frac{x*c}{2^{32}}}{2^2}$$
化简得：
$$x*\frac{2^{32}+c}{2^{35}}$$
$\therefore 2^{32+n}=2^{35}\Rightarrow n=3，o=\frac{2^{32+n}}{2^{32}+c}=\frac{2^{35}}{2^{32}+24924925h}=6.99999……\approx7$，推出C代码：

printf("nVarTwo/7="%d\r\n",argc/7);

小结：

 mov    eax,MagicNumber
 mul    reg
 sub    reg,edx
 shr    reg,1
 add    reg,edx
 (shr   reg,A)

如果遇到以上指令序列，基本可判定是除法优化后的代码。统计右移总次数以确定公式中的n值，使用公式$o=\frac{2^{32+n}}{2^{32}+c（魔数）}$求解出除数o，即可恢复除法原型。

---

情景3（MagicNumber$\geq$0x80000000）

编译器在计算MagicNumber时是作为无符号处理的，而imul指令是作为有符号处理的。所以当魔数$\geq 0x80000000$时，实际参与乘法运算的是个负数，导致魔数与数学公式上的那个“大常数”意义不一致。

$$当y{_{真}}<0时，由补码计算公式有:\\ y{_{补}}=2^{32}-|y{_{真}}|=2^{32}+y{_{真}}\\ \therefore y{_{真}}=y{_{补}}-2^{32}\\ \therefore x*y{_{补}}=x*y{_{真}}+x*2^{32}\\ y{_{补}}这里看做无符号数y{_{无}}，为正数，y{_{真}}为负数。\\ $$
易得公式，
$$\frac{x}{o} \Rightarrow x*\frac{2^n}{o}*\frac{1}{2^n} \Rightarrow (x*(\frac{2^n}{o}-2^{32})+x*2^{32})*\frac{1}{2^n}\\ 即\frac{x}{o} \Rightarrow x*y{_{补}}(y{_{无}})*\frac{1}{2^n}\Rightarrow (x*y{_{真}}+x*2^{32})*\frac{1}{2^n}$$

_main proc near
arg_0= dword ptr 4
    mov     esi,[esp+arg_0]
    mov     eax,92492493h
    imul     esi
    add     edx,esi
    sar     edx,2
    ;...负数调整

上述代码转换成公式：

$$(esi*eax+2^{32}*esi)*\frac{1}{2^{34}}\\ \because c是编译器求魔数运算按公式c=\frac{2^n}{o}无符号运算得到的。\\ \therefore 可以用公式o=\frac{2^{n}}{c}=\frac{2^{34}}{92492493h}=6.999999……\approx 7$$
反推出C代码：

printf("%d",argc/7);

小结：

 mov    eax,MagicNumber;MagicNumber>7fffffffh
 imul   reg
 add    edx,reg
 sar    edx,...
 mov    reg,edx
 shr    reg,1Fh
 add    edx,reg

当遇到以上指令序列时，基本可判定是除法优化后的代码。当MagicNumber$\geq80000000h$，编译器会在imul和sar之间产生调整作用的add指令，故可认定除数为正。*统计右移的总次数以确定公式中的n值，然后使用公式$o=\frac{2^n}{c（魔数）}$求解除数o，即可恢复除法原型。

4.除数为负的非2的幂

易得公式：

$$\frac{x}{o}=x*c*\frac{1}{2^n}(c<0)\\ c=-\frac{2^n}{|o|}=\frac{2^n}{|o|}{_{求补}}=2^{32}-\frac{2^n}{|o|}$$

情景1（MagicNumber$\geq$0x80000000）

_main proc near
arg_0= dword ptr 4
    mov      ecx,[esp+arg_0]
    mov      eax,99999999h
    imul     ecx
    sar      edx,1
    mov      eax,edx
    shr      eax,1Fh
    add      edx,eax
    push     edx
    push     offset Format ;"%d"
    call     _printf
    add      esp,8
    xor      eax,eax
    retn
_main endp

代码体现的表达式：

$$edx=\frac{ecx*eax}{2^{33}}\\ |o|=\frac{2^n}{2^{32}-c}=\frac{2^{33}}{2^{32}-99999999h}=4.999999……\approx 5$$
于是反推出C代码为：

printf("%d",argc/-5);

小结：

 mov    eax,MagicNumber(>=0x7fffffff)
 imul   reg
 sar    edx,...
 mov    reg,edx
 shr    reg,1Fh
 add    edx,reg

如遇到以上指令序列，则基本可判定是除法优化后的代码。MagicNumber$\geq80000000h$，编译器在imul和sar之间未产生任何调整指令，故可认定除数为负。*统计右移总次数以确定公式中的n值，然后使用公式$|o|=\frac{2^n}{2^{32}-c（魔数）}$求解除数|o|，即可恢复除法原型。

情景2（MagicNumber$\leqslant$0x7FFFFFFF）
当MagicNumber<=7FFFFFFFFh时，除数也有可能是负数。（为什么会有这种情景？这样可以使数学式中$c=\frac{2^n}{o}$表示的范围更大）
为了使$\frac{x*c}{2^n}中c=\frac{2^n}{o}(o<0)$表示更小的负数，编译器用类似3中情景3的方法，

$$设p=-o,(p>0)\\ \frac{x}{o} = -\frac{x}{p}\Rightarrow -(x*\frac{2^n}{p}*\frac{1}{2^n}) \Rightarrow -((x*(\frac{2^n}{p}-2^{32})+x*2^{32})*\frac{1}{2^n})\Rightarrow (x*(-(\frac{2^n}{p}-2^{32}))-x*2^{32})*\frac{1}{2^n} \Rightarrow (x*(2^{32}-\frac{2^n}{|o|})-x*2^{32})*\frac{1}{2^n} \Rightarrow x*\frac{c-2^{32}}{2^n}(对应代码转换的公式)\\ -c=\frac{2^n}{p}-2^{32}<0（3中情景3的y{_{真}}）\\ c=-(\frac{2^n}{p}-2^{32})=2^{32}-\frac{2^n}{p}=2^{32}-\frac{2^n}{|o|}>0$$

_main proc near
arg_0= dword ptr 4
    mov      ecx,[esp+arg_0]
    mov      eax,6DB6DB6Dh
    imul     ecx
    sub      edx,ecx
    sar      edx,2
    mov      eax,edx
    shr      eax,1Fh
    add      edx,eax
    push     edx
    push     offset Format ;"%d"
    call     _printf
    add      esp,8
    retn
_main endp

上面代码转换成公式：

$$edx=\frac{\frac{edx*eax}{2^{32}}-ecx}{2^2}=\frac{ecx*eax-2^{32}*ecx}{2^{34}}=ecx*\frac{eax-2^{32}}{2^{34}}\\ \frac{ecx}{o}=ecx*\frac{eax-2^{32}}{2^{34}}\\ |o|=\frac{2^n}{2^{32}-c}=\frac{2^{34}}{2^{32}-6DB6DB6Dh}=6.999999……\approx 7$$
于是反推C代码：

printf("%d",argc/-7);

小结：

 mov    eax,MagicNumber(<=7fffffffh)
 imul   reg
 sub    edx,reg
 sar    edx,...
 mov    reg,edx
 shr    reg,1Fh
 add    edx,reg

当遇到以上指令序列时，基本判定是除法优化后的代码。MagicNumber$\leqslant$7fffffffh，imul和sar之间有sub指令来调整乘积，故认定除数为负数。统计右移总次数以确定公式中的n值，然后使用公式$|o|=\frac{2^n}{2^{32}-c(魔数)}$求解除数|o|，即可恢复除法原型。

如何从汇编代码中区分正负除数？
$\bullet$ 当MagicNumber最高位为1时($\geq80000000h$)，对于正除数，MagicNumber为原码形式，编译器会在imul和sar之间产生调整作用的add指令。如果没有，则MagicNumber为补码形式。
$\bullet$ 当MagicNumber最高位为0时($\leqslant7FFFFFFFh$)，对于负除数，编译器会在imul和sar之间产生调整作用的sub指令。
这些应作为区分负除数的重要依据。