反汇编深入分析函数调用

最新推荐文章于 2020-03-01 21:26:18 发布
最新推荐文章于 2020-03-01 21:26:18 发布
阅读量551 收藏
点赞数
分类专栏: 逆向 文章标签: 汇编 fun c string 存储
反汇编深入分析函数调用

http://www.hackbase.com 2007-1-25 黑客基地
 

函数: 

int fun(int a, int b) {
            char var[128] = "A";
            a = 0x4455;
            b = 0x6677;
            return a + b;
            }
            int main() {
            fun(0x8899,0x1100);
            return 0;
            }

F11跟踪到fun,alt+8看反汇编代码: 

00401078   push        1100h //参数压栈,这里遵循__cdecl调用规范,参数由右向左
            0040107D   push        8899h//压栈
            00401082   call        @ILT+0(_fun) (00401005)
            00401087   add         esp,8//被调用函数的堆栈由主调函数来清空

由上图的EIP可以看到0040B500就是下条要执行的指令,在Memory窗口中可以看到内存数据99880000和11000000,实质上是0x8899,0x1100,(intel处理器一般都是小端存储),还可以看到有内存数据87104000,实质上是00401087。在主调函数中,可以很清楚的看到00401087被调函数返回以后执行的第一条指令,也就是堆栈清空指令(遵循__cdecl调用规范)。Call指令隐含做了一个操作:就是把函数返回后执行的第一条指令压入堆栈。 

1:    int fun(int a, int b) {
            0040B500   push        ebp //
            0040B501   mov         ebp,esp //调用函数通常的做法,通过ebp基址寄存器来操作堆//栈数据
            0040B503   sub         esp,0C0h //为什么是C0h(不是因为堆栈保护,防止缓冲区overflow,而是
            DEBUG选项造成的)
            0040B509   push        ebx
            0040B50A   push        esi
            0040B50B   push        edi
            0040B50C   lea         edi,[ebp-0C0h]
            0040B512   mov         ecx,30h //C0h 除以4,就是30h,因为rep stos用的是dword
            0040B517   mov         eax,0CCCCCCCCh
            0040B51C   rep stos    dword ptr [edi] //用0CCCCCCCCh初始化堆栈
            2:       char var[128] = "A";
            0040B51E   mov         ax,[string "A" (0041f10c)] //此时EBP = 0012FF24
            0040B524   mov         word ptr [ebp-80h],ax //80h也就是128,写了一个字
            0040B528   mov         ecx,1Fh //1Fh是31
            0040B52D   xor         eax,eax //清零
            0040B52F   lea         edi,[ebp-7Eh]
            0040B532   rep stos    dword ptr [edi] //一共是32个双字,开始写了一个字,rep stos
            0040B534   stos        word ptr [edi]//写入了31个双字,还剩下一个字由stos完成
            //var的地址是:0x0012fea4
            3:       a = 0x4455;
            0040B536   mov         dword ptr [ebp+8],4455h
            4:       b = 0x6677;
            0040B53D   mov         dword ptr [ebp+0Ch],6677h
            5:       return a + b;
            0040B544   mov         eax,dword ptr [ebp+8]
            0040B547   add         eax,dword ptr [ebp+0Ch] //返回值通过eax保存
            6:    }
            0040B54A   pop         edi
            0040B54B   pop         esi
            0040B54C   pop         ebx //弹栈
            0040B54D   mov         esp,ebp
            0040B54F   pop         ebp  //恢复ebp寄存器
            0040B550   ret    //默认操作,恢复EIP:将堆栈中的00401087 pop给EIP

执行完:0040B50B push edi 如下图:

ESP:0012FE58 与刚进入函数的时候的ESP:0012FF28 之间的堆栈图如下:

执行完:0040B51C rep stos dword ptr [edi] 后EDI 为:0012FF24,如下图:

(完)


liudan217
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反汇编代码分析--函数调用
tangzhilinhk的专栏
07-21 1609
分类: VC Linux 2010-12-01 14:16 1681人阅读 评论(2) 收藏 举报 汇编代码分析框架编译器applicationsolaris C++反汇编代码分析--函数调用 代码如下:     #include "stdlib.h"     int sum(int a,int b,int m,int n)     {          retu
函数反汇编
云淡风轻
05-01 1775
内容如题。将函数反汇编后看看都有些什么东西。。。代码如下:void f() { int j; j = 0xfffffff; } void main() { int i; i = 0xeeee; f(); } 上面这个代码简单的不能再简单了吧。这里主要分析一下函数f()的代码(main的很类似,注意是类似不是相同)void f() { 0042D680 push ebp 0042D681 mov ebp,esp 0042D683
函数调用过程(反汇编分析)
u010762216的专栏
06-05 1676
1: 将函数的实参压栈(值传递是将值压榨,引用传递是将其偏移量,即有效地址压栈---对应于内存的分段管理模式)   2.call 函数名 这一步具体的操作就是将当前执行指令的地址压栈,为了函数结束后能够还原现场,(如果是near call,就将函数调用时的指令偏移量压栈,然后再将被调用函数的入口 地址的偏移量送入指令指针寄存器ip,即实现了程序的转移;如果是远调用,压栈时多压入该指令下的
C语言函数调用分析总结
08-10
C语言函数调用是编程中的核心概念,尤其在嵌入式开发中,深入理解函数调用机制对于问题排查至关重要。本文将对C语言的函数调用进行详细分析,并结合给出的代码实例进行解释。 首先,我们需要了解X86体系结构中的...
利用反汇编手段解析c语言函数
01-17
比如,编写一个简单的函数调用示例,使用反汇编工具查看其对应的汇编代码,从而深入了解函数调用的具体过程。 #### 五、总结 通过使用反汇编技术解析C语言函数,不仅可以帮助我们更好地理解函数的底层实现机制,还...
测试代码RVO优化反汇编代码
01-22
本篇文章将深入探讨RVO的概念、工作原理以及如何通过反汇编代码来观察和理解RVO的实现。 首先,RVO全称为“Return Value Optimization”,即返回值优化。它是编译器进行的一项优化策略,当一个函数直接将一个大对象...
汇编调用反汇编引擎
07-31
在实际应用中,这可能涉及到更复杂的操作,如跟踪内存访问、解析函数调用、分析数据流等。例如,我们可以利用反汇编引擎在调试过程中实时查看被调试程序的执行流程,找出潜在的漏洞或恶意行为。 总的来说,“汇编...
函数调用反汇编
distancening的博客
10-28 429
windows堆栈:向低地址扩展。 堆栈平衡: windows堆栈就是一块普通的内存,主要用来存储一些临时数据和参数等,可以想象成一个公共的箱子,大家都会用,每个人用完都要使它和用之前一样。main函数中的调用:0100176E 6A 02 push 2 01001770 6A 01 push 1
反汇编函数调用堆栈分析
03-07 1907
孟宁老师教授的Linux内核分析的作业
高级语言反汇编程序的函数调用过程
jimconrad的专栏
10-29 1606
高级语言反汇编程序的函数调用过程Jim Chan10/25/2001查看:字体:宋体  字形:常规  大小:小五  字符集:CHINESE_GB2312━━━━━━━━━━━━━━━━━━━━━━━━━━━━━摘要:本文说明高级语言编译成汇编语言后,高级语言中函数调用汇编程序过程。正文:高级语言编译成汇编程序以后,在高级语言中的函数调用汇编程序过程如下:1.将函数参数入栈,第一个参
反汇编之简单函数调用
技术点滴记录
10-10 2750
简单的函数调用,通过反汇编可以清楚了解 举例:#include int add(int a,int b){ int c=0; c=a+b; return c;}int main(void){ int x=0; int y=3; int z=4; x=add(y,z); return 0;
反汇编分析之函数调用
、moddemod
03-01 533
反汇编分析一个简单的c语言程序,主要是理解一下函数调用堆栈空间的分配 // test.c int g(int x) { return x + 3; } int f(int x) { return g(x); } int main(void) { return f(8) + 1; } 汇编后得到AT&T格式的汇编代码 gcc -m32 -S -o test.s...
反汇编系列(一) 基本函数调用
能哥的专栏
01-09 1483
#include"stdio.h" int function(int a,int b) { int c=a+b; return c; } void main() { function(1,2); getchar(); } --- c:\users\wangchao\desktop\test\test\main.cp
反汇编 函数调用和实现_笔记
苦逼码农
06-18 1151
调用call时 会让栈push 返回地址 相对就的 esp +4   进入call 后 先保存 ebp 然后 把esp 给了ebp 当前函数堆栈从此开始 接下来 就是esp 减多少了. esp减多少就是这个函数的栈多大 从epb 开始加上这个值就是这个函数所用栈的范围.如果没变量 esp 不减, 如果有1个int esp-8 , 有2个int esp -c. 再下来就
反汇编基础与函数调用分析
理解反汇编的基本结构,包括函数调用、堆栈操作和调用约定,是进行逆向工程和调试的基础。通过分析Call指令前后的栈操作,以及关注MOV指令在变量赋值中的应用,我们可以逐步解析出程序的行为和逻辑。同时,熟悉不同...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值