一个典型的简单C++程序的反汇编分析

最新推荐文章于 2023-12-07 18:22:42 发布
最新推荐文章于 2023-12-07 18:22:42 发布
阅读量1.7k 收藏 1
点赞数
文章标签: 汇编 c++ 编译器 c class byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guokeno1/article/details/1674882
版权

程序本身用VC编译:

 // virtualandoverloadding.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"

class parent
{
public:
 int int1()
 {
  return 1;
 }
 virtual int int1(int x)
 {
  return x;
 }
 int int1(char c)
 {
  return c;
 }
};

class child:public parent
{
public:
 int int1(int x)
 {
  return x*2;
 }
};

int main(int argc, char* argv[])
{
 parent *p=new child();
 p->int1();
 p->int1(2);
 p->int1('c');
 return 0;
}
分析:

进入MAIN后
下面是动态的堆栈跟踪分析
PUSH EBP
 EBP
MOV EBP,ESP
 EBP,ESP->EBP
PUSH 0FFH
ESP ->0FFH
   0FFH
   0FFH
   0FFH
EBP ->EBP
PUSH OFFSET _ehandler$_main(004109bb);SEH的构造,从堆栈图中特别清楚的.
ESP ->_ehandler$_main
   0FFH
   0FFH
   0FFH
   0FFH
EBP ->EBP
mov eax,fs:[00000000]
push eax
ESP ->fs:[00000000]
   _ehandler$_main
   0FFH
   0FFH
   0FFH
   0FFH
EBP ->EBP
mov  dword ptr fs:[0],esp 
sub esp,50h
esp ->...
          ...
   ...
   ...
   50H bytes
   ...
   fs:[00000000];这个结构已经呈现在我们面前
   _ehandler$_main
   0FFH
   0FFH
   0FFH
   0FFH
EBP ->EBP
push ebx
push esi
push edi
esp ->edi
   esi
   ebx
   ...
          ...
   ...
   ...
   50H bytes
   ...
   fs:[00000000]
   _ehandler$_main
   0FFH
   0FFH
   0FFH
   0FFH
EBP ->EBP
lea edi,[ebp-5Ch]
mov ecx,14h
mov eax,0CCCCCCCCh
rep stos dword ptr [edi]
;注意这里的算法,开始分配的空间一共50H个字节共有80BYTE,所以这里用14H就是;20次循环
push 4
esp ->
   04h
   00h
   00h
   00h
   edi
   esi
   ebx
   ...
          ...
   ...
   ...
   50H bytes
   ...
   fs:[00000000]
   _ehandler$_main
   0FFH
   0FFH
   0FFH
   0FFH
EBP ->EBP
call operator new(00401360)
add esp 4;调用者恢复堆栈

进入operator new
operator new:
push ebp
mov ebp,esp
push 1
mov eax,dword ptr [cb]
push eax
call _nh_malloc (00401a70);malloc的参数是上面PUSH 4来的
add esp,8;临时空间的回收还是函数本身来负责的
pop ebp
ret
回到MAIN
mov dword ptr [ebp-18h],eax
mov dword ptr [ebp-4],0
cmp dword ptr [ebp-18h],0
je  main+54h (004010a4);这里用到了一个刚才忽视的单元EBP-4不知道为啥了,兄弟们知道的上啊...
mov ecx,dword ptr [ebp-18h]
call @ILT+15(child::child) (00401014)
终于进入了构造函数
child::child:
push ebp
mov ebp,esp
sub esp,44h
push ebx
push esi
push edi
push ecx;其实这里使用ecx来传递参数有些fastcall的意思了
lea edi,[ebp-44h]
mov ecx,11h
mov eax,0CCCCCCCCh
rep stos dword ptr [edi];故技重施?唉...
pop ecx
mov dword ptr [ebp-4],ecx
mov ecx,dword ptr [ebp-4];这里编译器犯傻了,呵呵,倒腾了一次ECX
call @ILT+5(parent::parent) (0040100a);调用了父类构造器
;不怕累的继续跟我来
parent::parent:
push ebp
mov ebp,esp
sub esp,44h
push ebx
push esi
push edi
push ecx
lea edi,[ebp-44h]
mov ecx,11h
mov eax,0CCCCCCCCh
rep stos dword ptr [edi]
pop ecx
mov dword ptr [ebp-4],ecx
mov eax,dword ptr [ebp-4]
mov dword ptr [eax],offset parent::`vftable' (00422020);看,默认构造器最最核心的部分终于出现:初始化vtable
mov eax,dword ptr [ebp-4]
pop edi
pop esi
pop ebp
ret
回到CHILD构造器
mov eax,dword ptr [ebp-4]
mov dword ptr [eax],offset child::`vftable' (0042201c)
mov eax,dword ptr [ebp-4]
pop edi
pop esi
pop ebx
add esp,44h
cmp ebp,esp
call        __chkesp (00401850)
mov esp,ebp
pop ebp
ret
一阵漫游之后,我们回到MAIN中,把变量送入到该送的地方去
0040109F 89 45 E4             mov         dword ptr [ebp-1Ch],eax
004010A2 EB 07                jmp         main+5Bh (004010ab)
004010A4 C7 45 E4 00 00 00 00 mov         dword ptr [ebp-1Ch],0
004010AB 8B 45 E4             mov         eax,dword ptr [ebp-1Ch]
004010AE 89 45 EC             mov         dword ptr [ebp-14h],eax
004010B1 C7 45 FC FF FF FF FF mov         dword ptr [ebp-4],0FFFFFFFFh
004010B8 8B 4D EC             mov         ecx,dword ptr [ebp-14h]
004010BB 89 4D F0             mov         dword ptr [ebp-10h],ecx;变量p栖身之所
004010BE 8B 4D F0             mov         ecx,dword ptr [ebp-10h];最后居然有四处存放了NEW的返回指针,效率啊!我的天呢...
我们来看函数调用,注意虚函数的方式
004010C1 E8 58 FF FF FF       call        @ILT+25(parent::int1) (0040101e)
004010C6 8B F4                mov         esi,esp
004010C8 6A 02                push        2
004010CA 8B 55 F0             mov         edx,dword ptr [ebp-10h]
004010CD 8B 02                mov         eax,dword ptr [edx];查表动作
004010CF 8B 4D F0             mov         ecx,dword ptr [ebp-10h]
004010D2 FF 10                call        dword ptr [eax];虚函数,有趣的是,如果你直接用CHILD指针进行调用,编译器优化为静态调用
004010D4 3B F4                cmp         esi,esp
004010D6 E8 75 07 00 00       call        __chkesp (00401850)
004010DB 6A 63                push        63h
004010DD 8B 4D F0             mov         ecx,dword ptr [ebp-10h]
004010E0 E8 2A FF FF FF       call        @ILT+10(parent::int1) (0040100f)
准备退出了...
004010E5 33 C0                xor         eax,eax
004010E7 8B 4D F4             mov         ecx,dword ptr [ebp-0Ch]
004010EA 64 89 0D 00 00 00 00 mov         dword ptr fs:[0],ecx;先恢复SEH
004010F1 5F                   pop         edi
004010F2 5E                   pop         esi
004010F3 5B                   pop         ebx;寄存器退栈
004010F4 83 C4 5C             add         esp,5Ch
004010F7 3B EC                cmp         ebp,esp;释放临时空间
004010F9 E8 52 07 00 00       call        __chkesp (00401850)
004010FE 8B E5                mov         esp,ebp
00401100 5D                   pop         ebp
00401101 C3                   ret

guokeno1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
c++反汇编教程!经典!
12-14
c++反汇编中文教程,国外大牛非常经典之作,教你如何用IDA逆向C++
C++反汇编 利用反汇编分析常见C/C++语句的底层实现(硬核)
ylh的博客
09-25 4933
解释了底层C语言的语句执行情况,在此后,我也会写很多有意义的C++反汇编的代码,帮助大家理解C/C++的底层含义。
EPO 入口点模糊技术
08-28 2290
 为了获得控制权,病毒可以有以下几种修改可执行文件的方法:—修改entry-point(程序入口)字段使之指向病毒代码—在程序代码中插入一个指向病毒代码的跳转指令第一个方法很简单,但是现在几乎所有不错的杀毒软件都会把这样的被感染文件看成是可疑文件。为什么?因为一个程序的入口指针在代码段以外,所以这至少是可疑的。第二种方法要复杂一点儿。病毒可以改写第一个jmp或者call指令使之指向自己。Caban
网上收集的几个花指令
11-16 2423
c++花指令:00460000: 55                             PUSH EBP00460001: 8B EC                          MOV EBP,ESP00460003: 6A FF                          PUSH FF00460005: 68 2A 2C 0A 00                 PUS
C++ 反汇编简要
梦的灰色边沿...
06-19 2573
C/C++都需要经过编译器变成对应的机器码,通常编译器程序员是个黑盒子。有些时候我们可能会纠结编译器会不会进行RVO,EBO等优化,以及一些在我们看起来应该正常的代码因为一些UB的行为被C++编译器优化成了不可预期的代码。这时候如果我们了解具体代码是如何编译成对应的二进制机器码对我们查具体的问题非常有益。另一种场景,在开发软件时,线上环境能够复现的问题,我们本地可能是无法复现的。这就需要我们根据线上的堆栈分析具体的原因。
8-14 B站 C++安全开发面经 《腾讯》.docx
08-17
**PE结构**:PE是Windows可执行文件的格式,其第一个字段是MZ标志(0x5A4D)。内存加载涉及映像加载、重定位、初始化等步骤。 **智力题**:面试中可能出现逻辑思维题,如量杯问题、金条问题和老虎过河问题,这些都...
使用C++构建嵌入式开发框架.docx
08-03
框架把一个系统有机地分解成一组相对独立的构件,并定义了各个构件间的接口和作用关系,符合软件工程中设计的模块化、独立化和信息隐藏等特征。 框架的设计原则 框架的设计要力求做到完备性、灵活性、可扩展性、可...
通过汇编码理解switch语句的原理
05-25
一个典型的`switch`语句如下: ```c switch (expression) { case value1: // code block for value1 break; case value2: // code block for value2 break; ... default: // code block for default case ...
鳕鱼剥削::skull_and_crossbones_selector:使命召唤-漏洞和概念证明
01-28
IDA (Interactive DisAssembler) 是一个反汇编器和调试器,是逆向工程的重要工具,用于分析二进制文件,找出可能的漏洞点。 "security-vulnerability" 明确指出我们要讨论的是关于安全漏洞的问题。这可能包括缓冲区...
汇编命令 解释
take__it_easy的专栏
04-07 569
比如你用local在栈上定义了一个局部变量LocalVar,你知道实际的指令是什么么?一般都差不多像下面的样子:      push   ebp      mov   esp,   ebp      sub   esp,   4      现在栈上就有了4各字节的空间,这就是你的局部变量。      接下来,你执行mov   LocalVar,   4,那么实际的指令又是什么?是这样:
逆向C++ (Reverse C++)[中文版]
02-22
这些年来,逆向工程分析人员一直是凭借着汇编和C 的知识对大多数软件进行逆向工程的,但是,现在随着越来越多的应用程序和恶意软件转而使用C++语言进行开发,深入理解C++面向对象方式开发的软件的反汇编技术就显得越发的必要。本文试图通过分析反汇编时如 何手工识别C++对象,进而讨论如何自动完成这一分析过程最终介绍我们自己开发的自动化工具,一步一步的帮助读者掌握逆向C++程序的一些方法。
深入C++虚表(虚函数 虚表 反汇编)
05-28
多态是C++语言中最重要的特性之一,而虚表以及虚函数是实现多态的重要手段。许多C++语言的教材对于虚函数的使用以及调用机制有着详细的阐述,但是对于虚表的一些细节内容阐述却并不是很深,对于虚表我们可能会有很多疑问。本文就试图通过使用汇编语言对于虚表实现的细节进行分析,从而加深对多态机制的理解。
【函数调用堆栈】
佳大先生的博客
08-26 758
函数返回值是结构体
通用ShellCode深入剖析
02-03 971
创建时间:2004-01-08文章属性:转载文章提交:l0pht (vbs_at_21cn.com)[SafeChina推荐]通用ShellCode深入剖析                       通用ShellCode深入剖析                           作者:yellow                     Email:yellow@safechina.net 
反编译C++:深入理解其工作原理
最新发布
奇妙的Bug之旅
12-07 3525
在软件开发中,反编译是一种将编译后的二进制代码转换回源代码的过程。对于高级编程技巧和解决方案的查找,以及针对特定项目挑战的技术建议和创新思路,了解反编译C++的原理是非常有帮助的。本文将详细介绍反编译C++的过程,并提供相关实例。
使用VScode将c++代码反汇编
qq_55621259的博客
09-07 5166
我们在学习C++语言的时候有时需要把C++代码反汇编汇编代码,通过汇编代码查看代码是怎么运行的,函数形参、局部变量是怎么压栈,函数是怎么调用的,栈指针是怎么跳转工作等等,这样能更好地帮助我们理解代码的底层逻辑。2、在终端使用“gcc -S test.cpp -o test.s”命令进行反汇编(其中test.cpp为你当前的cpp文件名, test.s为输出的反汇编文件名)1、先在VScode中写好c++代码,并保证能编译通过(自己运行或者编译一下)发现左侧文件栏新出现一个test.s。
C++内嵌汇编(一):反汇编分析C++代码
wuxinliulei的专栏
12-05 2875
http://chuanwang66.iteye.com/blog/1433218  这是一篇好文章的,赞一个!   Sam: 使用binutils-2.23.1这个软件中的小工具objdump -d *.o 可以对一个目标文件进行反汇编:) 了解反汇编的一些小知识对于我们在开发软件时进行编程与调试大有好处,下面以 VS2008 环境下的 VC++ 简单介绍一下反汇编的一些小东西!
C++反汇编代码分析
bcbobo21cn的专栏
04-02 1074
C++反汇编代码分析--函数调用   代码如下:     #include "stdlib.h"     int sum(int a,int b,int m,int n)     {          return a+b;     }     void main()     {          int result = sum(1,2,3,4)
C++反汇编obj文件(objconv)
weixin_45001971的博客
01-12 1766
C++反汇编obj文件(objconv)
C++反汇编与逆向分析揭秘
05-10
C++ 反汇编和逆向分析是一项非常有用的技能,它可以帮助软件开发人员和安全研究人员深入了解编译后的程序,找到其中的漏洞和弱点。 反汇编是将二进制代码转换为汇编代码的过程。这是一种很重要的技能,因为程序的源代码并不总是可用的。反汇编可以让你看到程序的真实运行方式,包括它的数据结构、算法等等。反汇编通常用于调试和优化程序。 逆向分析是一种更高级别的技能,它涉及到了深入理解程序的结构和功能。逆向分析可以帮助你了解程序的内部工作原理,找到其中的漏洞和弱点。逆向分析通常用于软件破解、恶意软件分析、软件保护和漏洞分析等领域。 在 C++ 中,反汇编和逆向分析通常使用调试器和反汇编工具。调试器可以让你在程序运行时查看内存、寄存器和堆栈,同时也可以让你在程序执行时停止它,逐步运行代码并检查变量的值。反汇编工具可以将二进制代码转换为汇编代码,并让你查看程序的指令流和数据流。 总的来说,反汇编和逆向分析是非常有用的技能,它们可以让你深入了解软件的内部结构和功能,找到其中的漏洞和弱点,从而提高软件的质量和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值