一段多字节strlen汇编代码的分析

最新推荐文章于 2022-03-18 12:45:37 发布
最新推荐文章于 2022-03-18 12:45:37 发布
阅读量711 收藏
点赞数
分类专栏: strlen 汇编 文章标签: strlen 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26489485/article/details/121526608
版权

一段多字节strlen汇编代码的分析

以下是代码与注释

注意

这里两个注意的点:

  1. 需要关注每一个字节的最低位, 以及最高字节的最高位, 以及为什么取FF FE 7E 作为EAX的加操作数
  2. ADD加-1对于没个字节的最低位来说可以看做是取反, 最低位是加1还是加0很重要, 对于最高位来说也是一样, 加的7E刚好是抽象把最高位当成下一个字节的最低位了…有点抽象…

代码及注释

;装载目的字符串
00259590:
MOV EAX,DWORD PTR DS:[ECX]

;加载ff,fe,7e使得eax的各个字节的最低位取反!!!,若对应的eax字节刚好为0,那么0的下一个高位的最低位就相当于复制过去了,没有取反
MOV EDX,0x7EFEFEFF
ADD EDX,EAX

;eax取反,各个字节的最低位取反
XOR EAX,0xFFFFFFFF
;异或,如果之前最低位,的前一字节不是0那么就相当于两个最低位都取过反,那么异或结果就是0,若前一个字节是0,异或结果就为1
XOR EAX,EDX

;自增4个字节,记录比较过的数
ADD ECX,0x4

;测试最终结果, 这里的81(若00出现在最高位那么就把判断位移到最高位,所以前面为7e,后面进位后变为7f,如果最高位字节非零那么就相当于前面取反了) 01(这个就是取最低位的异或结果) 01(这个就是取最低位的异或结果) 00(这个因为是最低字节所以默认进位…取ff)
TEST EAX,0x81010100

;结果非0就退出,说明DWORD中有00字节出现, 否则跳到00259590 继续执行
JE SHORT Reverse0.00259590

;以下是进行最后的字符串长度计算, 找出哪个\0在哪个字节并从总长度减去相应的长度, 之前是4个字节一加的, 所以退出的时候可能会多加长度, 这里就判断下\0在哪
MOV EAX,DWORD PTR DS:[ECX-0x4]
TEST AL,AL
JE SHORT Reverse0.002595E1
TEST AH,AH
JE SHORT Reverse0.002595D7
TEST EAX,0xFF0000
JE SHORT Reverse0.002595CD
TEST EAX,0xFF000000
JE SHORT Reverse0.002595C3
JMP SHORT Reverse0.00259590
002595C3:
LEA EAX,DWORD PTR DS:[ECX-0x1]
MOV ECX,DWORD PTR SS:[ESP+0x4]
SUB EAX,ECX
RETN
002595CD:
LEA EAX,DWORD PTR DS:[ECX-0x2]
MOV ECX,DWORD PTR SS:[ESP+0x4]
SUB EAX,ECX
RETN
002595D7:
LEA EAX,DWORD PTR DS:[ECX-0x3]
MOV ECX,DWORD PTR SS:[ESP+0x4]
SUB EAX,ECX
RETN
002595E1:
LEA EAX,DWORD PTR DS:[ECX-0x4]
MOV ECX,DWORD PTR SS:[ESP+0x4]
SUB EAX,ECX
RETN

代码运行实例

第一次:
//=============================
;EAX放着’4321’,输入的是"123456"
EDX 7e fe fe ff
EAX 34 33 32 31
//=============================
ADD EDX,EAX
最高字节不知道, 其他三字节都减一…感觉是配合00,变成负数!
EDX B3 32 31 30
EAX 34 33 32 31
//=============================
XOR EAX,-1
相当于取反, eax取反…后三位是减一后取反,现在的eax取反加一!..那就是
EDX B3 32 31 30
EAX CB CC CD CE
//=============================
XOR EAX,EDX
异或,不带进位的加…
EDX B3 32 31 30
EAX 78 FE FC FE
//=============================
这里的34 33什么的对应的是字符在内存的顺序,不是寄存器里的
==>是按字节看的最后TEST结果的
34 33 32 31 ===> 0000
TEST EAX,0x 81 01 01 00
EDX B3 32 31 30
EAX 78 FE FC FE
0111 1000 1111 1110 1111 1100 1111 1110
81 01 01 00
1000 0001 0000 0001 0000 0001 0000 0000
都取不上…最后是零了

第二次:
eax放着 fe 0 ‘6’ ‘5’
//=============================
EDX 7e fe fe ff
EAX fe 00 36 35
//=============================
ADD EDX,EAX
EDX 7c ff 35 34
EAX fe 00 36 35
//=============================
XOR EAX,-1
相当于取反
EDX 7c ff 35 34
EAX 01 ff c9 ca
//=============================
XOR EAX,EDX
EDX 7c ff 35 34
EAX 7d 00 fc fe
//=============================
35 36 00 fe ===> 0001
TEST EAX,0x81 01 01 00
EDX 7c ff 35 34
EAX 7d 00 fc fe
0111 1101 0000 0000 1111 1100 1111 1110
81 01 01 00
1000 0001 0000 0001 0000 0001 0000 0000

\0出现的情况汇总

这里是分析的起点, 我是从这里意识到, 每次\0影响的都是字符的后一位, 也即 按DWORD读入的前一个字节处
内存中地址: 00 fe fe fe
EAX读入的: fe fe fe 00
意识到这点,之后发现这里主要运用的是最低位的判断, 这也是为什么利用01 对一个字节进行TEST的原因
知道这一点其他就顺其自然了
//=============================
00 fe fe fe ===> 0100
eax 7c fc fd 00
0111 1100 1111 1100 1111 1101 0000 0000
81 01 01 00
1000 0001 0000 0001 0000 0001 0000 0000

//=============================
35 00 fe fe ===> 0010
eax 7c fd 00 fe
0111 1100 1111 1101 0000 0000 1111 1110
81 01 01 00
1000 0001 0000 0001 0000 0001 0000 0000

//=============================
35 36 00 fe ===> 0001
eax 7d 00 fc fe
0111 1101 0000 0000 1111 1100 1111 1110
81 01 01 00
1000 0001 0000 0001 0000 0001 0000 0000

//=============================
35 36 37 00 ===> 0001
eax 80 fe fc fe
1000 0000 1111 1110 1111 1100 1111 1110
81 01 01 00
1000 0001 0000 0001 0000 0001 0000 0000

篱笆里的小狐狸
关注
专栏目录
温度测量源代码
03-20
根据提供的文件信息,我们可以分析并总结出以下与“温度测量源代码”相关的知识点: ### 1. 微控制器编程基础 这段代码主要涉及到基于微控制器的编程,具体使用的微控制器型号为 SST89x5x4。这是一种8位单片机,...
反汇编笔记
百里杨的博客
09-11 1582
1.OD中ctrl+f9:运行到返回,就是运行到当前断点所在的函数末尾"retn xxx"处,若xxx=10,那么 10等于10进制的16,就是说这个函数有4个参数,一个参数默认是占4字节,所以就是retn 10。 2.调试程序时,在OD内部小窗口左上角会显示当前断点所在的函数层,是在系统领空还是某个应用程序领空。 3.call前出现lea edx,dword ptr ss:[ebp
逆向学习笔记
qq_20254219的博客
03-18 2564
滴水逆向 一: ​ 信息的存储:一切信息在电脑中的存储方式都是用二进制存储。为了方便显示和,电脑将二进制数以十六进制数显示,八位二进制数为一字节,一字节是系统操作的基本单位,系统通常用两个十六进制数来表示一字节。 ​ PE文件结构:pe文件结构是在Windows上运行的可执行文件必须遵守的格式。(程序从哪里开始,数据存在哪里,程序放在哪里) 十六进制的3c转换成十进制就是60,表示从六十以后四个字节就是三十二位信息的起始点,但并不是程序运行的起点。 依照顺序依次查找,最终定位到00000111,
OD调试红月反汇编之账号错误的提示框
追逐光芒,追随内心
02-24 1061
033F7820 C2 0400 retn 0x4 ; 写入 ret 4 错误也不弹出提示框 033F7823 90 nop 033F7824 90 nop 033F7825 90 nop 033F7826 6A FF push -0x1 033F7828 68 61924103
strlen汇编实现
xbgprogrammer的专栏
06-30 3255
最近看了点汇编的东西,书上书长度可以使用 repne scasb指令获取字符串长度,于是我测试了一下代码 __declspec(noinline) int getlen(const char* str) { return strlen(str); } int _tmain(int argc, _TCHAR* argv[]) { char* name2 = "BI"; int len
汇编中的寄存器说明
红羊家园
03-12 3945
汇编语言和CPU以及内存,端口等硬件知识是连在一起的. 这也是为什么汇编语言没有通用性的原因. 下面简单讲讲基本知识(针对INTEL x86及其兼容机) ============================ x86汇编语言的指令,其操作对象是CPU上的寄存器,系统内存,或者立即数. 有些指令表面上没有操作数, 或者看上去缺少操作数, 其实该指令有内定的操作对象, 比如push指令, 一定是对S
20170724_c语言研究九_李智宇 1
08-08
在示例代码中,每次增加2个字节是因为在x86架构中,`char*`通常是32位(4字节)指针,但在64位系统中可能需要增加8字节。`ptemp`指针被强制转换为`int*`类型以匹配这个偏移量。 4. 终止条件:`showstr()`函数通过...
2021-2022计算机二级等级考试试题及答案No.17585.docx
10-30
19. Java源代码字节码文件:每个Java类源代码编译后都会生成一个对应的`.class`字节码文件。 20. 邮箱地址格式:正确的电子邮件地址格式是用户名@服务器地址。 21. 数据库管理系统:DBMS是数据库管理系统,用于...
C语言错题简单总结1
08-03
- **目标文件**:在C语言程序编译过程中,源代码首先会被编译器转化为汇编语言,然后生成一种中间格式的文件,称为目标文件(Object File)。这个文件包含了编译后的机器代码,但通常还不能直接执行,因为它缺少...
c语言、ubuntu,脚本基础知识整理
11-24
- **汇编阶段**: 汇编器将汇编代码转换为机器码,生成可重定位的目标文件,例如: `gcc -c hello.s -o hello.o`。 - **链接阶段**: 最后,链接器会将目标文件和所需的库文件合并成一个可执行文件,例如: `gcc hello.o -o ...
汇编求字符串长度程序
09-01
利用汇编语言求字符串长度的汇编程序,通俗易懂
使用avx2指令集实现的strlen函数
12-25
使用AVX2指令集实现的strlen函数,一般情况下较新的CPU都支持avx2指令集,使用avx2指令集可以加快程序的运行速度
[逆向破解]使用ESP定律手动脱-中国菜刀-壳
wangyunfeis的博客
08-21 5293
0x00前言:     ESC定律脱壳一般的加壳软件在执行时,首先要初始化,保存环境(保存各个寄存器的值),一般利用PUSHAD(相当于把eax,ecx,edx,ebx,esp,ebp,esi,edi都压栈),当加壳程序的外壳执行完毕以后,再来恢复各个寄存器的内容,通常会用POPAD(相当与把eax,ecx,edx,ebx,esp,ebp,esi,edi都出栈),通过跨区段的转移来跳到程序的OE
MOV EAX,DWORD PTR SS:[EBP+8]
weixin_30372371的博客
06-23 1824
nasm来写可以写成mov eax,dword ptr [ebp + 8]理由:ebp和esp默认是ss段,所以根本不用显式说明。 eax,ebx,ecx,edx,edi,esi默认是ds段, eip默认是cs段。 补充:上面给的是masm用法nasm是mov eax,dword [ebp + 8]我自己用的nasm,经常说nasm语法说习惯了。...
strlen源码解析
InterFloat
10-14 904
学习高效编程的有效途径之一就是阅读高手写的源代码,CRT(C/C++ Runtime Library)作为底层的函数库,实现必然高效。恰好手中就有glibc和VC的CRT源代码,于是挑了一个相对简单的函数strlen研究了一下,并对各种实现作了简单的效率测试。strlen的函数原形如下:      size_t strlen(const char *str);strlen返回str中字符的个数,其
x86汇编语言实现简单的C函数功能
T2hunz1
09-16 3542
使用X86汇编实现了strlen、strchr、strcmp、strset四个简单的字符串函数
【揭秘VC CRT库Intel模块】-- strlen
weixin_33712987的博客
12-06 142
既然是开篇后的第一篇,就先来一个简单且实用的函数吧,以增强你我的信心,然后再一步一步到复杂,这样从前至后,也就很顺其自然了。 还记得初学C的时候,对于字符串操作一类函数的记忆显得尤为深刻,各种考试会考strlenstrlen等函数的实现,到了毕业找工作,很多公司的笔试题里,也包含有strlen、strcpy等函数的实现。可见字符串操作类函数是受到了...
strcpy---汇编的过程
qq_38184895的博客
04-09 1130
strcpy中汇编的过程 00401191 mov edi,dword ptr ss:[esp+0x8] ; buffer数组地址 00401195 jmp short test.00401201 ... 00401201 mov ecx,dword ptr ss:[esp+0xC] ; cpy的数的地址 004...
分析这段代码int len = strlen(str);
最新发布
06-06
在这段代码中,函数 `strlen` 的返回值被赋值给了 `len`,表示字符串 `str` 的长度。这个长度可以用来确定分配内存的大小,或者作为循环的计数器等等。需要注意的是,如果 `str` 是一个空指针,那么 `strlen` 函数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值