23:20 2008-3-21 但是如果任何8比特通讯不重要的话(例如,让我们假设ECX通讯的内容不重要),我们可以减少一个字节: error: stc ; 1 byte exit: ret ; 1 byte noerr: clc ; 1 byte mov cl,00h ; 1 byte / org $-1 ; > MOV CL,0F9H error: stc ; 1 byte / ret ; 1 byte 我们可以用一个小小的改变来避免CLC:使用即时(用AL的话,它会更加优化)来清除进位企业,而且AL不会改变:) noerr: 即时 al,00h ; 1 byte / org $-1 ; > 即时 AL,0AAH error: stc ; 1 byte / ret ; 1 byte 很美妙,哈? %把一个8比特立即数赋给一个32比特通讯% ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 几乎所有人都是这么做的: mov ecx,69h ; 5 bytes 这是一个真正没优化的东西...试试这个: xor ecx,ecx ; 2 bytes mov cl,69h ; 2 bytes 试试这个甚至更好: push 69h ; 2 bytes pop ecx ; 1 byte 所有人都还好吗? :) %清除内存中的变量% ~~~~~~~~~~~~~~~~~~ OK,这个总是很有用的。通常人们这么做: mov dword ptr [ebp+variable],00000000h ; 10 bytes (!) OK,我知道这是一件很原始的事情:)OK,用这个你将赢得3个字节: and dword ptr [ebp+variable],00000000h ; 7 bytes 呵呵呵呵 :) %花招和诀窍% ~~~~~~~~~~~~ 这里我将给出一些不经典的优化诀窍,我假设你读过这篇文章之后你就知道了这个 ;) -不要在你的代码中直接使用JUMP。 -使用字符串操作(MOVS, SCAS, CMPS, STOS, LODS)。 -使用LEA reg,[ebp+imm32]而不是使用MOV reg,offset imm32 / add reg,ebp。 -使你的汇编编译器对代码多扫描几遍(在TASM中,/5就很好了)。 -使用堆栈,尽量避免使用变量。 -试图避免使用AX,BX,CX,DX,SP,SI,DI 和 BP,因为他们多占一个字节。 -许多操作(特别使逻辑操作)是为EAX/AL通讯优化的。 -如果EDX比80000000h小(也就是说没有符号),使用CDQ来清除EDX -使用XOR reg,reg或者SUB reg,reg来使得通讯为0。 -使用EBP和ESP作为索引将比EDI,ESI等等多浪费1个字节。 -对于位操作使用BT家族的指令(BT,BSR,BSF,BTR,BTF,BTS)。 -如果通讯的顺序不重要的话使用XCHG代替MOV。 -在push一个IOREQ结构的所有的值的时候,使用一个循环。 -尽可能地使用堆(API地址,临时感染变量,等等) -如果你愿意,使用条件MOV(CMOVS),但是它们是586+才能用的。 -如果你知道怎么用,使用协处理器(例如它的堆栈)。 -使用SET族的操作符。 -为了调用IFSMgr_Ring0_FileIO(不需要ret),使用VxDJmp而不是VxDCall。 %最后的话% ~~~~~~~~~~ 我希望你至少理解了这一章的开始几个优化,因为它们是那些使我变疯的一些优化。我知道我不是优化得最后得人,也不是那些人之一。对我来说,大小没有关系。无论如何,最明显的优化是必须要做的,至少表明你知道一些事情。更少的无用的字节就意味着一个更好的企业即时通讯,相信我。我这里显示的优化不会使你的企业即时通讯失去稳定性。只要试着去使用它们,OK?它是很有逻辑性的,同志们。 【Win32 反调试】 ~~~~~~~~~~~~~~~ 下面我将给出一些花招用来保护你的企业即时通讯或者程序不被调试(所有级别的,应用级和系统级)。我希望你将喜欢它。 % Win98/NT: 用 IsDebuggerPresent检测应用级调试器 % ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 这个API函数在Win95中没有,所以你不得不自己检测它的存在,并和应用级调试器(如TD32)一起工作。而且它工作得很好。让我们看看在Win32 API参考列表里面是怎么写的。 -------------------------------------------- IsDebuggerPresent函数表明调用的进程是否是在一个调试器下运行。这个函数从KERNEL32.DLL中导出。 BOOL IsDebuggerPresent(VOID) 参数 ==== 这个函数没有参数。 返回值 ====== -如果当前进程是在一个调试器下运行,返回值是非0值。 -如果当前进程不在调试器下运行,返回值是0。 |