C++反汇编揭秘1 一个简单的C++程序反汇编解析

本系列主要从汇编角度研究C++语言机制和汇编的对应关系。第一篇自然应该从最简单的开始。C++的源代码如下:

class my_class
{
public :
    my_class()
    {
        m_member = 1;
    }
 
    void method(int n)
    {
        m_member = n;
    }
 
    ~my_class()
    {
        m_member = 0;
    }
 
private :
    int m_member;
};
 
int _tmain(int argc, _TCHAR* argv[])
{
    my_class a_class;
    a_class.method(10);
 
    return 0;
}

 
可以直接Debug的时候看到Assembly代码,不过这样获得的代码注释比较少。比较理想的方法是利用VC编译器的一个选项/FAs来生成对应的汇编代码。/FAs还会在汇编代码中加入注释注明和C++代码的对应关系,十分有助于分析。Build代码便可以在输出目录下发现对应的.ASM文件。本文将逐句分析汇编代码和C++的对应关系。
首先是WinMain:

_TEXT SEGMENT
_wmain      PROC
      push ebp                                 ; 保存旧的ebp
      mov   ebp, esp                            ; ebp保存当前栈的位置
      push -1                                  ; 建立SEH(Structured Exception Handler)链
                                                ; -1表示表头,没有Prev
      push __ehhandler$_wmain                  ; SEH异常处理程序的地址
      mov   eax, DWORD PTR fs:0                 ; fs:0指向TEB的内容,头4个字节是当前SEH链的地址
      push eax                                 ; 保存起来
      sub   esp, d8H                            ; 分配d8H字节的空间
      push ebx
      push esi
      push edi
      lea   edi, DWORD PTR [ebp-e4H]            ; e4H = d8H + 4 * 3,跳过中间ebx, esi, edi
      mov   ecx, 36H                            ; 36H*4H=d8H,也就是用36H个ccccccccH填满刚才分配的d8H字节空间
      mov   eax, ccccccccH
      rep stosd
      mov   eax, DWORD PTR ___security_cookie  
      xor   eax, ebp                
      push eax                                 ; ebp ^ __security_cookie压栈保存
      lea   eax, DWORD PTR [ebp-0cH]            ; ebp-0cH是新的SEH链的结构地址(刚压入栈中的栈地址)
      mov   DWORD PTR fs:0, eax                 ; 设置到TEB中作为当前Active的SEH链表末尾
 

 
到此为止栈的内容是这样的:
低地址

Security cookie after XOR
Edi
Esi
Ebx
Local stack: d8H
Old fs:0
__ehhandler$_wmain
ffffffffH
Old ebp

 高地址
main接着后面调用my_class的构造函数

      lea   ecx, DWORD PTR [ebp-14H]
   call ??0my_class@@QAE@XZ                 ; 调用my_class::my_class, ??my_class@@QAE@XZ是经过Name Mangling后的名字
   mov   DWORD PTR [ebp-4], 0                ; 进入__try块,在Main中有一个隐式的__try/__except块
 

 
接着调用my_class::method

      push 10                                  ; 参数入栈
      lea   ecx, DWORD PTR [ebp-14H]            ; 遵循thiscall调用协定,ecx存放的是this指针
      call ?method@my_class@@QAEXH@Z           ; 调用子程序my_class:method(10)

 
之后是析构:

      mov   DWORD PTR [ebp-e0H], 0             ; 用来放置返回值
      mov   DWORD PTR [ebp-4], -1               ; 标记TRY的正常结束
      lea   ecx, DWORD PTR [ebp-14H]            ; a_class的地址作为this存入ECX
      call ??1my_class@@QAE@XZ                 ; my_class::~my_class
      mov   eax, DWORD PTR [ebp-e0H]            ; 返回值按照约定放入eax中
 

 
Main函数退出代码如下:

      push edx
      mov   ecx, ebp
      push eax
      lea   edx, DWORD PTR $LN7@wmain
      call @_RTC_CheckStackVars@8             ; 检查栈
      pop   eax
      pop   edx
      mov   ecx, DWORD PTR [ebp-0cH]            ; 取出之前保存的旧的fs:0,并恢复
      mov   DWORD PTR fs:0, ecx
      pop   ecx
      pop   edi
      pop   esi
      pop   ebx
      add   esp, e4H                            ; 退掉分配的d8H + 建立SEH链所需的0cH字节
      cmp   ebp, esp
      call __RTC_CheckEsp                      ; 检查esp值,这个时候esp应该和ebp匹配,否则说明出现了栈不平衡的情况,这种情况下调用子程序报错
      mov   esp, ebp                            ; 恢复ebp到esp
      pop   ebp                                 ; 恢复原来的ebp值
      ret   0
_wmain      ENDP

 
专门用于SEH的子程序。__unwindfunclet$_wmain$0当异常发生的时候被调,负责进行栈展开,主要是调用析构函数。__ehhandler$_wmain则是在exception被抛出的时候调用。

Text$x      SEGMENT
__unwindfunclet$_wmain$0:                       ; 当SEH发生的时候会调用该函数,析购a_class
      lea   ecx, DWORD PTR [ebp-14H]            ; ecx = [ebp – 14H],也就是a_class的地址
      jmp   ??1my_class@@QAE@XZ                 ; 调用my_class::~my_class
__ehhandler$_wmain:
      mov   edx, DWORD PTR [esp+8]             ; esp = 当前的fs:0, [esp + 8] = 之前的SEH结构,也就是main中建立的
      lea   eax, DWORD PTR [edx+0cH]            ; edx + 0Ch = 当前的ebp,也就是main的ebp,此时不能直接使用ebp因为可能会从任意函数调过来,此时ebp是该函数的ebp,而不是main的ebp
      mov   ecx, DWORD PTR [edx-e0H]            ; 之前存下去的__security_cookie ^ ebp
      xor   ecx, eax                            ; 再次和ebp相异或
      call @__security_check_cookie@4          ; 此时ecx应该等于__security_cookie,否则说明栈的内容被恶意改动(或者编程错误)
      mov   eax, OFFSET __ehfuncinfo$_wmain
      jmp   ___CxxFrameHandler3
text$x      ENDS
 

 
My_class::my_class构造函数如下。构造函数本质上就是一个全局函数,名字是经过打乱的(Name Mangling),这样可以和同一Class和其他Class的同名方法区别开来。不同编译器有不同规则,因此不必过于深究。

_TEXT SEGMENT
??0my_class@@QAE@XZ PROC
      push ebp                                 ; 保存旧的ebp
      mov   ebp, esp                            ; ebp保存当前栈的位置
      sub   esp, ccH                            ; 给栈分配ccH个字节
      push ebx                                 ; 保存常用寄存器
      push esi
      push edi
      push ecx
      lea   edi, DWORD PTR [ebp-ccH]            ; 从分配的位置开始
      mov   ecx, 33H                            ; 写33H个ccccccccH
      mov   eax, ccccccccH                      ; 也就是33H*4H=ccH,正好是分配的大小
      rep stosd                                 ; 从而把整个栈上当前分配的空间用ccH填满
      pop   ecx
      mov   DWORD PTR [ebp-8], ecx             ; 按照约定,一般用ECX保存this指针
                                                ; 把this存入到ebp-8,并不是很必要,因为这是Debug版本
                                               
 
; 10   :     {
; 11   :         m_member = 1;
 
      mov   eax, DWORD PTR [ebp-8]             ; eax中存放this
      mov   DWORD PTR [eax], 1                  ; this的头四个byte是m_member的内容
 
; 12   :     }
 
      mov   eax, DWORD PTR [ebp-8]             ; 多余的一句话,可以优化掉
      pop   edi
      pop   esi
      pop   ebx
      mov   esp, ebp                            ; 恢复esp,因此就算是中间栈运算出错,最后也不会导致灾难性的结果,只要ebp还是正确的
      pop   ebp
      ret   0
??0my_class@@QAE@XZ ENDP

 
My_class::method的实现如下:

_TEXT SEGMENT
?method@my_class@@QAEXH@Z PROC                  ; my_class::method
 
; 15   :     {
 
      push ebp
      mov   ebp, esp
      sub   esp, ccH
      push ebx
      push esi
      push edi
      push ecx
      lea   edi, DWORD PTR [ebp-ccH]
      mov   ecx, 33H
      mov   eax, ccccccccH
      rep stosd
      pop   ecx
      mov   DWORD PTR [ebp-8], ecx
 
; 16   :         m_member = n;
 
      mov   eax, DWORD PTR [ebp-8]             ; eax中存放this
      mov   ecx, DWORD PTR [ebp+8]             ; ebp -> ebp
                                                ; ebp + 4 -> IP
                                                ; ebp + 8 -> n
                                                ; 把n存入ecx中
      mov   DWORD PTR [eax], ecx                ; this头四个字节是m_member, 因此这句话就是m_member = n
 
; 17   :     }
 
      pop   edi
      pop   esi
      pop   ebx
      mov   esp, ebp
      pop   ebp
      ret   4                                   ; 等价于
                                                ; ret 恢复EIP,返回调用地址
                                                ; add esp, 4 -> 把n从栈上Pop掉
?method@my_class@@QAEXH@Z ENDP

 
最后的析构函数,和前面的代码并无区别。

_TEXT SEGMENT
??1my_class@@QAE@XZ PROC                        ; my_class::~my_class
 
; 20   :     {
 
      push ebp
      mov   ebp, esp
      sub   esp, 204                     
      push ebx
      push esi
      push edi
      push ecx
      lea   edi, DWORD PTR [ebp-204]
      mov   ecx, 33H                     
      mov   eax, ccccccccH               
      rep stosd
      pop   ecx
      mov   DWORD PTR _this$[ebp], ecx
 
; 21   :         m_member = 0;
 
      mov   eax, DWORD PTR [ebp-8]
      mov   DWORD PTR [eax], 0
 
; 22   :     }
 
      pop   edi
      pop   esi
      pop   ebx
      mov   esp, ebp
      pop   ebp
      ret   0
??1my_class@@QAE@XZ ENDP                        ; my_class::~my_class
_TEXT ENDS

 这次写的比较仓促一些,很多东西都只是点到为止,以后会慢慢补齐,并覆盖更多C++语言和一些C++
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值