通过Visual C++进行简单C语言函数的反汇编操作

学习目标：

通过Visual C++进行简单C语言函数的反汇编操作

---

学习内容：

1、 使用VC进行反汇编操作

2、 进行反汇编分析

---

学习过程：

1、 使用VC进行反汇编操作
编写简单函数，进行操作。
右键添加断点。

点击此处进入debug模式

在空白处右键打开一些窗口：

我打开了以上窗口

这个是寄存器窗口，可以查看各个寄存器窗口的地址值，可以才分析时查看各个变量的值的存放位置及存放的值。

这里查询地址，可以复制搜索寄存器的地址然后看反汇编语句里面的具体变量存放地址，来查看

这个是调试窗口与汇编语句窗口，显示具体的汇编语句。

通过这个来跳到下一句汇编语句

2、进行反汇编分析：
代码：

#include<stdio.h>

int function(int i,int *j){
	char ch='A';
	int a=5,b;
	char array[]="abc";
	b=i+(*j)+a;
	return b;
	
}

int main(){
	int i = 6,j=4;
	function(i,&j);
} 

反汇编及分析：
12: int main(){
004115C0 push ebp
//保存ebp，返回之前弹出，避免ebp被我们改动。push操作使esp减小，esp不变
004115C1 mov ebp,esp
//ebp被用来保存这个函数执行前的esp的值，执行完毕后用ebp恢复esp
//原ebp值已经被压栈（位于栈顶），而新的ebp又恰恰指向栈顶
004115C3 sub esp,48h
//把esp往上移动一个范围，等于在栈中开辟一片空间存储main函数的局部变量。可以理解为将esp栈顶减去，实际上是为栈增加空间
004115C6 push ebx
004115C7 push esi
004115C8 push edi
//保存三个寄存器的值，待main结束恢复，原来的值被破坏有可能引起系统崩溃
004115C9 lea edi,[ebp-48h]
// ebp-48h加载到edi中，目的是保存局部变量的区域
004115CC mov ecx,12h
004115D1 mov eax,0CCCCCCCCh
//eax常用来代替mov eax,0。清零操作。在windows中，函数返回值放在eax中返回，外部从eax中得到返回值。代表return 0操作。
004115D6 rep stos dword ptr [edi]
//stos存储指令，将eax中的数据放入edi所指的地址中，同时edi会增加4个字节。Rep使指令重复执行ecx中填写的次数。
//从ebp-0c0h开始的局部变量空间区域初始化成全部0CCCCCCCCh
//局部变量不可能被执行，执行了就会出错。这样发生意外时执行堆栈里面的内容会引发调试中断提示开发者
13: int i = 6,j=4;
004115D8 mov dword ptr [ebp-4],6
//将i的值6存在[ebp-4]这个位置
//EBP = 0019FF30
//0019FF24 CC CC CC CC CC CC CC CC 06 00 00 00
004115DF mov dword ptr [ebp-8],4
//将j的值存在[ebp-8]这个位置
//0019FF24 CC CC CC CC 04 00 00 00 06 00 00 00 烫烫…
14: function(i,&j);
004115E6 lea eax,[ebp-8]
004115E9 push eax
004115EA mov ecx,dword ptr [ebp-4]
004115ED push ecx
004115EE call @ILT+0(_function) (00401005)
//局部变量分配与默认初始化
/*
在函数内，遇到“{”时分配局部空间，并用值“0xCCH”进行初始化。未在定义时初始化的局部变量其初值就与“0xCCH”相关。因此 int 类型变量由于占四个字节，其初值为 - 858993460（0xCCCCC-CCCH）；两个连续的 0xCCH 对应汉字“烫”字，因此当以字符形式显示函数内未初始化的变量时会显示为“烫烫…”；指针类型变量就指向了地址为 0xCCCC-CCH 的内存。由此在调试模式下能很容易发现未初始化的变量。
堆栈基本的存储单位为四字节，对于小于四字节的数据按四字节对齐方式分配空间。因此 char 类型变量 ch 虽然数据本身需要两个字节，也分配了四个字节空间。array 字节数组分配空间时每个字符占一个字节，不够四个字符时按四字节对齐存放。因此局部变量
空间总数为 40H+4+4×2+4=50H。局部变量 ch 的地址为 EBP- 4，a、b 的地址分别为 EBP- 8 ，EBP- 0CH,array数组的地址为 EBP- 10h。
*/
004115F3 add esp,8
//主调函数中的堆栈平衡语句
15: return 0;
004115F6 xor eax,eax
//返回值将放在eax返回（这就是很多软件给秒杀爆破的原因，因为eax的返回值是可以改的）
//根据 _cdecl 约定，需要由主调函数完成堆栈平衡。主调函数根据压入堆栈的参数的数目 2 和参数大小，利用指令 add ESP，8 将参数全部弹出。此时堆栈就恢复到其调用前的状态。一个完整的函数调用过程完成。
16: }
004115F8 pop edi
004115F9 pop esi
004115FA pop ebx
//恢复原来寄存器的值
004115FB add esp,48h
//恢复ESP栈顶指针
004115FE cmp ebp,esp
00411600 call __chkesp (004010e0)
00411605 mov esp,ebp
00411607 pop ebp
//恢复ebp，也就是恢复调用main函数之前各个寄存器的状态
00411608 ret
//将返回地址存入eip，退出主函数

函数反汇编结果：
3: int function(int i,int *j){
00401020 push ebp
00401021 mov ebp,esp
00401023 sub esp,50h
00401026 push ebx
00401027 push esi
00401028 push edi
00401029 lea edi,[ebp-50h]
0040102C mov ecx,14h
//若变量有初值，则反汇编就会为其生成一条 Mov指令为其赋值。
00401031 mov eax,0CCCCCCCCh
//对于没有初值的变量其每个字节都为0xCCH。
00401036 rep stos dword ptr [edi]
4: char ch=‘A’;
00401038 mov byte ptr [ebp-4],41h
5: int a=5,b;
0040103C mov dword ptr [ebp-8],5
6: char array[]=“abc”;
00401043 mov eax,[string “abc” (0042201c)]
00401048 mov dword ptr [ebp-10h],eax
//字符串常量“abc”被存放在全局数据区中。当需要引用其值对数组进行初始化时，实际是将全局数据拷贝到堆栈中的局部数组 array里。
//对数组内容的访通过[ “EBP+ 数组首地址 + 偏移量]的寄存器间址来完成，因此局部数组初始化费时但访问时的效率高。
7: b=i+(*j)+a;
0040104B mov ecx,dword ptr [ebp+0Ch]
0040104E mov edx,dword ptr [ebp+8]
00401051 add edx,dword ptr [ecx]
00401053 add edx,dword ptr [ebp-8]
00401056 mov dword ptr [ebp-0Ch],edx
8: return b;
00401059 mov eax,dword ptr [ebp-0Ch]
9:
10: }
0040105C pop edi
0040105D pop esi
0040105E pop ebx
//将寄存器 EDI、ESI、EBX 恢复原值
0040105F mov esp,ebp
//将 ESP 调回到 EBP 处
00401061 pop ebp
//将 EBP原值弹出
00401062 ret
//此时 ESP 指向函数返回地址。执行出栈指令，将函数的返回地址弹入 EIP 寄存器返回到主调函数。此时堆栈中只残留有调用函数时压入的参数还没有清理。
//遇到函数“}”时的操作

//在函数内访问局部变量和参数通过 [EBP + 位移量 /- 位移量]来完成。函数返回值被放到 EAX 寄存器中供主调函数使用。
//函数内部并不存储局部变量，局部变量只有当函数调用发生时才会在栈上为函数分配空间。因此当函数调用后返回局部变量的值是错误的。

本文章部分摘抄自其他博主，链接如下：
版权声明：本文为CSDN博主「Vincent_Song」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/songjinshi/article/details/8450419

如有错误，敬请指正。