《软件调试分析技术》学习笔记(十二)

最新推荐文章于 2023-02-28 17:59:02 发布
最新推荐文章于 2023-02-28 17:59:02 发布
阅读量981 收藏
点赞数 1
分类专栏: 逆向工程 汇编 技术文章 文章标签: function attributes 汇编 语言 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hacke2/article/details/7353613
版权
技术文章 同时被 3 个专栏收录
52 篇文章 0 订阅
订阅专栏
汇编
14 篇文章 0 订阅
订阅专栏
逆向工程
13 篇文章 0 订阅
订阅专栏

参数和返回值是函数的两个重要组成部分,可以通过参数向函数传入信息,通过返回值使函数传出信息。看一段C语言代码: 

#include <stdio.h> 
int function(int a, int b) 
{ 
  if (a > b) 
  { 
    return a; 
  } 
  else 
  { 
    return b; 
  } 
} 
int main() 
{ 
  function(1, 2); 
  return 0; 
}

这里定义了一个函数function(),参数是两个整型变量,返回值也是整型变量,当a的值大于b时返回a,否则返回b,很明显这个函数返回的是两个数中的较大数,然后在主函数中调用了这个函数,参数分别为1、2。编译后使用IDA进行分析,主函数的反汇编代码如下: 

.text:00401020    push    ebp 
.text:00401021    mov     ebp, esp 
.text:00401023    push    2               ; b 
.text:00401025    push    1               ; a 
.text:00401027    call    ?function@@YAHHH@Z ; function(int,int) 










这里向栈中压入数据2和1,然后调用函数function(int,int)。可以猜想这样向堆栈里压入2和1就是在给被调用的过程传递参数了。这里要注意,传递参数的时候是反着来的,C语言里调用的时候是function(1, 2),等到反汇编的时候就变成先压入2,再压入1这样的了。 




.


text:0040102C    add     esp, 8 

  


  这一句代码用来抬高栈顶,抬高栈顶是为了平衡栈桢,前面为了给被调用过程传递参数向栈中压入了两个四字节的int型变量,这里把栈顶抬高八个字节就是为了销毁传递参数的痕迹。




.text:0040102F    xor     eax, eax 
.text:00401031    pop     ebp 
.text:00401032    retn 
下面是function()函数在IDA中的分析结果:


.text:00401000 ; Attributes: bp-based frame 
.text:00401000 
.text:00401000 ; int __cdecl function(int a, int b) 
.text:00401000 ?function@@YAHHH@Z proc near            ; CODE XREF: _main+7 p 
.text:00401000 
.text:00401000 a               = dword ptr  8 
.text:00401000 b               = dword ptr  0Ch 
.text:00401000


这里是对function()函数的参数、返回值、调用方式等信息的分析。这里说明了function()函数的调用方式为__cdecl,返回值是int型,两个参数a、b与ebp对应的偏移分别为0x08和0x0C。







.text:00401000    push    ebp 
.text:00401001    mov     ebp, esp 
.text:00401003    mov     eax, [ebp+a] 
.text:00401006    cmp     eax, [ebp+b] 
.text:00401009    jle     short loc_401012 
.text:0040100B    mov     eax, [ebp+a] 
.text:0040100E    jmp     short loc_401015 
.text:00401010    jmp     short loc_401015 
.text:00401012    mov     eax, [ebp+b] 
.text:00401015    pop     ebp 
.text:00401016    retn 
.text:00401016 ?function@@YAHHH@Z endp 


一般来说过程返回的结果都是储存在eax里的。这个函数比较两个参数a、b,如果参数a大于参数b则把参数a放到eax,跳到最后返回,如果参数a不大于参数b则把参数b放到eax中返回。 

  







                

        

        

    

  


    

      

        

            

              
                
                  hacke2
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
linux调试分析工具

				
			

			

				

					luguifang2011的专栏
				

				

					05-28
					
					427
					
				

			

		

		

			
				
一 strace 系统调用跟踪

1 strace 参数

-c 统计每一系统调用的所执行的时间,次数和出错的次数等.
-d 输出strace关于标准错误的调试信息.
-f 跟踪由fork调用所产生的子进程.
-ff 如果提供-o filename,则所有进程的跟踪结果输出到相应的filename.pid中,pid是各进程的进程号.
-F 尝试跟踪vfork调用.在-f时,vfork不被跟...

			
		

	



                

              
                



	

		

			

				
					
软件调试分析技术学习笔记

				
			

			

				

					weiyinchao88
				

				

					02-14
					
					225
					
				

			

		

		

			
				
软件调试分析技术学习笔记(一)
今天开始写写一些心得体验。
《软件调试分析技术》是好友Monster的处女作品。作为一直以的好伙伴,他是我看着长大的,(*^__^*) 嘻嘻……之所以有今天这样的成绩,是与他的努力和天赋脱不了关系的。他大方地给了我PDF版的,我也大方的给了我们全班。但我们班有同学说,“这是撒子呦,看不看不懂”。我决心写一些学习笔记,和我班的同学一起来多交流,让更多热爱次行业...

			
		

	



                


  
              

                


	

		

			

				
					
调试分析

				
			

			

				

					weixin_34413357的博客
				

				

					10-17
					
					124
					
				

			

		

		

			
				
一、获取内核转储
大多数Linux发行版默认关闭内核转储功能,可使用 ulimit -c 查看,-c 表示内核转储文件的大小限制,如果为0,表示未开启。
1、可设置为 ulimit -c unlimited 表示无限制,或设置为其它数值,单位是字节,立即生效。
2、修改 /etc/security/limits.conf 文件,重启后生效。
开启该功能后,当程序异常终止时,会在当前目录下生...

			
		

	





	

		

			

				
					
代码调试分析

				
			

			

				

					向小雅的博客
				

				

					04-18
					
					1402
					
				

			

		

		

			
				
Debug
设置断点
访问到达第一个断点,自动激活debug
调试按钮:【8个】下一步F6、进入方法内部(有限制,不会进入官方方法)F5、进入方法内部(无限制)、回退
服务按钮:【7个】重启、跳到下一个断点处、停止、断点详情
方法调用栈:显示了该线程调试所经过的所有方法
变量区Variables:查看当前断点之前的当前方法内的变量


基本用法


变量值查看:1.参数所在代码行  直接看;2...

			
		

	



		

			
		



	

		

			

				
					
调试分析

				
			

			

				

					jimk1983的专栏
				

				

					11-01
					
					636
					
				

			

		

		

			
				
分析:
0: kd> kv           
00 98803784 99d60f41 88e0fe00 98803814 98803810 DoubleCBFilter!PfpGetFullPathPreCreate (FPO: [Non-Fpo]) (CONV: stdcall)
01 98803890 99d61303 00000000 86f1d020 88e0fe00 Dou

			
		

	





	

		

			

				
					
C语言错误调试和处理学习笔记.md

				
			

			

				

					08-26
				

			

		

		

			
				
学习笔记涵盖了C语言错误调试和处理的关键概念和技术,包括错误码的使用、异常处理、断言的使用以及调试技巧。通过深入理解这些概念和技术,开发者可以更有效地识别和解决程序中的错误,从而提升程序的质量和稳定...

			
		

	





	

		

			

				
					
pc样本学习笔记之动静结合分析技术入门.docx

					
最新发布

				
			

			

				

					05-05
				

			

		

		

			
				
### pc样本学习笔记之动静结合分析技术入门  #### 动静结合分析技术概述  在计算机安全领域,尤其是恶意软件分析中,“动静结合分析技术”是一种非常重要的方法论。该技术结合了静态分析与动态分析的优点,能够更...

			
		

	





	

		

			

				
					
笔记本PC, BLE调试软件sdadafafafad

				
			

			

				

					04-03
				

			

		

		

			
				
4. **日志记录**:记录调试过程中的事件和数据交换,方便后期分析。 5. **服务和特性模拟**:对于开发者来说,可能有模拟BLE服务和特性的功能,以便于测试应用的兼容性。 6. **配置和设置**:提供自定义参数,如连接...

			
		

	





	

		

			

				
					
基于机器学习、人工智能和深度学习的恶意代码分析学习笔记+源码.zip

				
			

			

				

					01-19
				

			

		

		

			
				
1、该资源内项目代码经过严格调试,下载即用确保可以运行! 2、该资源适合计算机相关专业(如计科、人工智能、大数据、数学、电子信息等)正在做课程...基于机器学习、人工智能和深度学习的恶意代码分析学习笔记+源码.zip

			
		

	





	

		

			

				
					
[muchong.com]Matlab软件学习笔记1

				
			

			

				

					08-03
				

			

		

		

			
				
【Matlab软件学习笔记1】  MATLAB是一款广泛应用于科学计算、数据分析、工程设计与仿真领域的高级编程语言和交互式环境。它以其强大的数值计算能力、符号计算功能和丰富的图形绘制能力,深受科研工作者和工程技术...

			
		

	





	

		

			

				
					
android调试分析,Android Native Error / Crash 开发时调试分析

				
			

			

				

					weixin_35241897的博客
				

				

					05-26
					
					311
					
				

			

		

		

			
				
一、前言这篇文章咱们来看看 Android Native Error / Crash 的问题在开发时如何调试分析。当然只要能分析出原因自然就知道如何去解决啦。二、问题分析过程下面的代码在运行时必然发生空指针 NULL 异常从而 引发 App Native Crash。char *p = NULL;char c = *p;本地 / 开发时调试很明显就是我们在开发时遇到程序发生的崩溃或者这是一个可以复...

			
		

	





	

		

			

				
					
dlmalloc 2.8.6 源码详解—[6]调试分析

				
			

			

				

					杏林小轩
				

				

					12-05
					
					1100
					
				

			

		

		

			
				
分析堆溢出漏洞分析不能仅仅停留在了解dlmalloc堆分配器运行原理,还需要通过调试器观察其运行过程并在堆内存中识别堆的数据结构,这就像实习医生学习做手术一样,最终检验还是要在手术台上。1 调试代码#include<stdio.h>
#include<stdlib.h>
#include<string.h>
#include<malloc.h>
#include<unistd.h>void func

			
		

	





	

		

			

				
					
C语言中的一些调试案例分析

				
			

			

				

					自信人生二百年,会当水击三千里
				

				

					02-28
					
					620
					
				

			

		

		

			
				
C调试案例分析

			
		

	





	

		

			

				
					
bug调试过程简单分析与小结(一)

				
			

			

				

					sanding的博客
				

				

					04-08
					
					773
					
				

			

		

		

			
				
工作过程中修改bug后。过程分析记录。心得体会记录。记录自己如何做?做了些什么?过程中对bug的定位,分析,解决。以及面对一些不能解决的问题,学会请教。

			
		

	





	

		

			

				
					
程序调试与性能分析

				
			

			

				

					Buer_zhu的博客
				

				

					06-17
					
					890
					
				

			

		

		

			
				
Linux下查看网络端口占用情况
	perf + 火焰图分析程序性能



			
		

	





	

		

			

				
					
代码调试和性能分析

				
			

			

				

					白菜执笔人的博客
				

				

					01-26
					
					1298
					
				

			

		

		

			
				
高级编程技巧 学习笔记

一、调试和性能分析

1.1、使用 pdb 进行代码调试
        首先,我们来看代码的调试。也许不少人会有疑问:代码调试?说白了不就是在程序中使用 print() 语句吗?
        没错,在程序中相应的地方打印,的确是调试程序的一个常用手段,但这只适用于小型程序。因为你每次都得...

			
		

	





	

		

			

				
					
程序调试的总结

				
			

			

				

					iicyl的博客
				

				

					10-03
					
					2316
					
				

			

		

		

			
				
前言:萌新一只望指正,以下是对程序调试的总结
硬件准备:单片机,单片机的通信端,各种数据调试工具,备用端子及杜关线,示波器,逻辑分析软件准备:烧录程序,调试工具(观察数据),观察波形软件,电路图(原理图),有数据的发送端准备采集的数据
注:根据实际情况可能还要一些小工具,可以自己动手制作(如3通转换板等)
步骤:
1.检测发送端波形,目的确认是否有波形发出,波形是否异常
2,检测接

			
		

	





	

		

			

				
					
代码调试总结-1#

				
			

			

				

					zzq496281494的博客
				

				

					07-08
					
					1142
					
				

			

		

		

			
				
代码调试总体可分为两大块:时间(时序)调试,空间(分块)调试。

1.时间(时序)调试:

仔细分析整个代码执行的正常逻辑顺序,假如一个任务执行分为5个步骤,则依次排查每个步骤,找出有问题的步骤,以为modbus主站发送流程为例,假如出现主站通讯速度很慢,要想定位到具体原因,则需要把整个主站通讯的时序流给梳理出来: 1.请求线程打包报文->2.发出发送请求->3.中断发送->4.等待从机回应->5.中断接收报文->6.接收完成一帧->7.拆报文解析。 则可以使用调试工具和

			
		

	





	

		

			

				
					
golang 调试分析方法

				
			

			

				

					noahsun1024的博客
				

				

					04-10
					
					3089
					
				

			

		

		

			
				
golang 断点调试、性能与内存分析方法
vscode 断点调试
goland 断点调试
pprof 使用

			
		

	





	

		

			

				
					
WUSTC TF Re学习笔记:解密挑战与技术实操

				
			

			

				

					
				

			

		

		

			
				
在本次"re学习笔记(56)WUSTCTF-Re方向WP"中,作者分享了他在WUSTC网络安全技术竞赛中的几个挑战经验和解题思路。首先,他提到的是"WUSTCTF-re-Cr0ssFun"任务,通过使用IDA64反汇编分析,他进入了main函数并观察...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值