switch case 跳转表 解析

最新推荐文章于 2025-10-18 16:44:26 发布
最新推荐文章于 2025-10-18 16:44:26 发布
阅读量441 收藏 8
点赞数 19
CC 4.0 BY-SA版权
分类专栏: 逆向 文章标签: switch case switch switch case 汇编 switch case 语句 汇编分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55125921/article/details/153465414

文章目录

完整代码

#include <string>

// 基础输出模拟
void output(int val) {
    static int buffer;
    buffer = val;
}
// 
1. 密集连续值 - 可能生成跳转表
void switch_dense_sequential(int value) {
    switch (value) {
    case 1: output(100); break;
    case 2: output(200); break;
    case 3: output(300); break;
    case 4: output(400); break;
    case 5: output(500); break;
    case 6: output(100); break;
    case 7: output(200); break;
    case 8: output(300); break;
    case 9: output(400); break;
    case 10: output(500); break;
    default: output(0); break;
    }
}

汇编部分

     9: // 1. 密集连续值 - 可能生成跳转表
    10: void switch_dense_sequential(int value) {
00D01A00  push        ebp  
00D01A01  mov         ebp,esp  
00D01A03  sub         esp,0C4h  
00D01A09  push        ebx  
00D01A0A  push        esi  
00D01A0B  push        edi  
00D01A0C  lea         edi,[ebp-4]  
00D01A0F  mov         ecx,1  
00D01A14  mov         eax,0CCCCCCCCh  
00D01A19  rep stos    dword ptr es:[edi]  
00D01A1B  mov         ecx,offset _FA199733_if语句@cpp (0D0D058h)  
00D01A20  call        @__CheckForDebuggerJustMyCode@4 (0D01348h)  
00D01A25  nop  
    11:     switch (value) {
00D01A26  mov         eax,dword ptr [value]  
00D01A29  mov         dword ptr [ebp-0C4h],eax  
00D01A2F  mov         ecx,dword ptr [ebp-0C4h]  
00D01A35  sub         ecx,1  
00D01A38  mov         dword ptr [ebp-0C4h],ecx  
00D01A3E  cmp         dword ptr [ebp-0C4h],9  
00D01A45  ja          $LN13+0Fh (0D01AEBh)  
00D01A4B  mov         edx,dword ptr [ebp-0C4h]  
00D01A51  jmp         dword ptr [edx*4+0D01B0Ch]  
    12:     case 1: output(100); break;
00D01A58  push        64h  
00D01A5A  call        output (0D0105Ah)  
00D01A5F  add         esp,4  
00D01A62  jmp         $LN13+19h (0D01AF5h)  
    13:     case 2: output(200); break;
00D01A67  push        0C8h  
00D01A6C  call        output (0D0105Ah)  
00D01A71  add         esp,4  
00D01A74  jmp         $LN13+19h (0D01AF5h)  
    14:     case 3: output(300); break;
00D01A76  push        12Ch  
00D01A7B  call        output (0D0105Ah)  
00D01A80  add         esp,4  
00D01A83  jmp         $LN13+19h (0D01AF5h)  
    15:     case 4: output(400); break;
00D01A85  push        190h  
00D01A8A  call        output (0D0105Ah)  
00D01A8F  add         esp,4  
00D01A92  jmp         $LN13+19h (0D01AF5h)  
    16:     case 5: output(500); break;
00D01A94  push        1F4h  
00D01A99  call        output (0D0105Ah)  
00D01A9E  add         esp,4  
00D01AA1  jmp         $LN13+19h (0D01AF5h)  
    17:     case 6: output(100); break;
00D01AA3  push        64h  
00D01AA5  call        output (0D0105Ah)  
00D01AAA  add         esp,4  
00D01AAD  jmp         $LN13+19h (0D01AF5h)  
    18:     case 7: output(200); break;
00D01AAF  push        0C8h  
00D01AB4  call        output (0D0105Ah)  
00D01AB9  add         esp,4  
00D01ABC  jmp         $LN13+19h (0D01AF5h)  
    19:     case 8: output(300); break;
00D01ABE  push        12Ch  
00D01AC3  call        output (0D0105Ah)  
00D01AC8  add         esp,4  
00D01ACB  jmp         $LN13+19h (0D01AF5h)  
    20:     case 9: output(400); break;
00D01ACD  push        190h  
00D01AD2  call        output (0D0105Ah)  
00D01AD7  add         esp,4  
00D01ADA  jmp         $LN13+19h (0D01AF5h)  
    21:     case 10: output(500); break;
00D01ADC  push        1F4h  
00D01AE1  call        output (0D0105Ah)  
00D01AE6  add         esp,4  
00D01AE9  jmp         $LN13+19h (0D01AF5h)  
    22:     default: output(0); break;
00D01AEB  push        0  
00D01AED  call        output (0D0105Ah)  
00D01AF2  add         esp,4  
    23:     }
    24: }
00D01AF5  pop         edi  
00D01AF6  pop         esi  
00D01AF7  pop         ebx  
00D01AF8  add         esp,0C4h  
00D01AFE  cmp         ebp,esp  
00D01B00  call        __RTC_CheckEsp (0D01258h)  
00D01B05  mov         esp,ebp  
00D01B07  pop         ebp  
00D01B08  ret  
00D01B09  nop         dword ptr [eax]  
00D01B0C  pop         eax  
00D01B0D  sbb         dl,al  
00D01B0F  add         byte ptr [edi+1Ah],ah  
00D01B12  rol         byte ptr [eax],1  
00D01B14  jbe         $LN13+54h (0D01B30h)  
00D01B16  rol         byte ptr [eax],1  
00D01B18  test        dword ptr [edx],ebx  
00D01B1A  rol         byte ptr [eax],1  
00D01B1C  xchg        eax,esp  
00D01B1D  sbb         dl,al  
00D01B1F  add         byte ptr [ebx-50FF2FE6h],ah  
00D01B25  sbb         dl,al  
00D01B27  add         byte ptr [esi-32FF2FE6h],bh  
00D01B2D  sbb         dl,al  
00D01B2F  add         ah,bl  
00D01B31  sbb         dl,al  
00D01B33  add         ah,cl

场景解释

根据提供的汇编代码,我可以分析出这种场景下switch语句的汇编特征:

主要特征分析

1. 跳转表实现

; 计算索引值
mov eax,dword ptr [value]  
mov dword ptr [ebp-0C4h],eax  
mov ecx,dword ptr [ebp-0C4h]  
sub ecx,1                    ; value - 1 (因为case从1开始)
mov dword ptr [ebp-0C4h],ecx

; 范围检查
cmp dword ptr [ebp-0C4h],9   ; 比较是否在0-9范围内
ja $LN13+0Fh (0D01AEBh)      ; 超出范围跳转到default

; 跳转表查找和执行
mov edx,dword ptr [ebp-0C4h]  
jmp dword ptr [edx*4+0D01B0Ch] ; 跳转表基地址 + 索引*4

2. 跳转表位置

地址 0D01B0Ch 处存储着跳转表,包含10个32位地址指针:

00D01B0C 对应 case 1
00D01B10 对应 case 2  
00D01B14 对应 case 3
...

3. 各case块的模式

每个case块遵循相同模式:

; case块开始
push 64h           ; 参数压栈
call output        ; 函数调用
add esp,4          ; 清理栈
jmp $LN13+19h      ; 跳转到函数末尾

识别特征总结

明显的switch特征:

  1. 索引计算value - 最小值
  2. 范围检查:比较是否在有效范围内
  3. 跳转表指令jmp dword ptr [寄存器*4+基地址]
  4. 集中式跳转表:所有分支目标地址存储在连续内存中
  5. 统一的退出点:所有case都跳转到同一结束位置

与if-else链的区别:

  • if-else会使用连续的cmpjcc指令
  • switch跳转表提供O(1)时间复杂度,if-else是O(n)
  • switch有集中的范围检查,if-else是分散比较

编译器优化提示:

这种跳转表优化通常出现在:

  • case值密集连续(这里是1-10)
  • case数量较多(≥5个)
  • case值范围相对紧凑

这种实现方式在性能上优于多个if-else比较,特别是当case数量较多时。

为什么没有直接看到跳转表

您说得对!在提供的汇编代码中,确实可以看到跳转表,但它是被错误反汇编了。让我来指出具体位置:

跳转表的真实位置

00D01B0C  pop         eax  
00D01B0D  sbb         dl,al  
00D01B0F  add         byte ptr [edi+1Ah], ah  
00D01B12  rol         byte ptr [eax],1  
00D01B14  jbe         $LN13+54h (0D01B30h)  
00D01B16  rol         byte ptr [eax],1  
00D01B18  test        dword ptr [edx],ebx  
00D01B1A  rol         byte ptr [eax],1  
00D01B1C  xchg        eax,esp  
00D01B1D  sbb         dl,al  
00D01B1F  add         byte ptr [ebx-50FF2FE6h],ah  
00D01B25  sbb         dl,al  
00D01B27  add         byte ptr [esi-32FF2FE6h],bh  
00D01B2D  sbb         dl,al  
00D01B2F  add         ah,bl  
00D01B31  sbb         dl,al  
00D01B33  add         ah,cl

问题分析

这些看似"无意义"的指令实际上是跳转表数据被错误地当作代码反汇编了!

正确的跳转表内容(以小端序解析):

地址 0D01B0Ch 开始的32位数据实际上是:

  • 0D01B0C: 58 1A D0 00 = 地址 00D01A58 (对应case 1)
  • 0D01B10: 67 1A D0 00 = 地址 00D01A67 (对应case 2)
  • 0D01B14: 76 1A D0 00 = 地址 00D01A76 (对应case 3)
  • 0D01B18: 85 1A D0 00 = 地址 00D01A85 (对应case 4)
  • 0D01B1C: 94 1A D0 00 = 地址 00D01A94 (对应case 5)
  • 0D01B20: A3 1A D0 00 = 地址 00D01AA3 (对应case 6)
  • 0D01B24: AF 1A D0 00 = 地址 00D01AAF (对应case 7)
  • 0D01B28: BE 1A D0 00 = 地址 00D01ABE (对应case 8)
  • 0D01B2C: CD 1A D0 00 = 地址 00D01ACD (对应case 9)
  • 0D01B30: DC 1A D0 00 = 地址 00D01ADC (对应case 10)

验证匹配

这些地址正好对应各个case的起始位置:

  • 00D01A58: case 1: output(100);
  • 00D01A67: case 2: output(200);
  • 00D01A76: case 3: output(300);
  • …以此类推

为什么会出现这种情况?

  1. 反汇编器混淆:反汇编工具无法区分代码段和数据段
  2. 跳转表嵌入代码段:编译器将跳转表直接放在函数代码后面
  3. 线性扫描反汇编:工具按顺序解析字节,把数据当作指令

正确的查看方式

在专业的反汇编工具中(如IDA Pro),应该:

  • 0D01B0C 区域标记为数据而非代码
  • 或者直接查看该地址的十六进制数据

结论:跳转表确实存在,只是被错误地显示为"垃圾指令"!

16、编程中的跳转与循环结构解析
chair的专栏
06-13 25
本文深入解析了编程中跳转和循环结构的实现原理与优化策略。内容涵盖跳转的使用方式、switch语句的fall-through特性、不同编译器对循环结构的实现差异、以及在多种架构(如ARM、ARM64、x86、MIPS)下的循环实现细节。文章还探讨了跳转与循环结构的应用场景、优化思路、常见错误及避免方法,并通过实际案例展示了跳转在状态机和计算器程序中的高效应用。通过对比不同编译器(MSVC、GCC)的优化策略,帮助开发者更好地理解底层机制,从而编写更高效、可读性更强的代码。
41、控制结构与编程决策:深入解析 `switch/case` 语句
earth的博客
08-07 47
本文深入解析了编程中常用的`switch/case`语句,探讨了其语法、语义与实现方式,并与`if..then..elseif`链进行了对比分析。文章详细介绍了跳转的实现机制及其优缺点,讨论了不同编译器对`switch/case`语句的优化策略,以及如何根据情况分布选择合适的实现方式。此外,还提供了不同编程语言(如C/C++、Java)中`switch/case`的具体实现示例,并总结了最佳实践和优化建议,帮助开发者提高程序的性能和可读性。
switch case语句 密集连续值 - 可能生成跳转 汇编分析
这是一个c++热爱者的博客哟
10-18 731
本文展示了C++中switch语句的多种实现方式及其汇编代码分析。主要包括:1)密集连续值可能生成跳转;2)稀疏值生成条件跳转链;3)小间隔值使用优化;4)带fall-through的case;5)枚举类型switch;6)字符类型switch;7)大范围边界测试;8)嵌套switch;9)少量case处理;10)状态机应用。代码示例演示了不同场景下的switch实现,并提供了对应的汇编代码分析,展示了编译器如何根据case分布选择最优的跳转策略。
JS switch case语句详解
unber的博客
11-25 3421
switch 语句专门用来设计多分支条件结构。与 else/if 多分支结构相比,switch 结构更简洁,执行效率更高。
JavaScript switch case语句详解
我的博客
06-29 2263
JavaScript switch case语句详解 switch 语句专门用来设计多分支条件结构。与else/if多分支结构相比,switch 结构更简洁,执行效率更高。 语法格式 switch (expr) { case value1 : statementList1 break; case value2 : statementList2 break; ... case valuen : statementListn break; default : default statementList..
IDA简单Switch-Case结构的汇编代码分析
faithzzf的专栏
11-22 4415
使用IDA进行静态逆向分析,很重要的一点是是对高级语言程序结构的解析,比如Switch-Case结构。IDA的F5功能很多时候会无法生成C语言代码,此时就需要我们自己分析汇编代码,理解switch-case结构等。    从简单入手, 测试使用的C++代码如下:     int switch_case(char a,int b,int *c,int d,int e) { switch(a)
case例句java_Java switch case 语句
weixin_32023109的博客
02-26 735
Java switch case 语句文章搬运,原文链接switch case 语句判断一个变量与一系列值中某个值是否相等,每个值称为一个分支。语法switch case 语句语法格式如下:switch(expression){case value ://语句break; //可选case value ://语句break; //可选//你可以有任意数量的case语句default : //可选/...
[系统安全] 反汇编-switch-case分支
2401_88755455的博客
11-18 931
跳转的作用就是用数组的寻址运算代替复杂的if-else分支,可以大大提高程序的执行效率。由此引出稀疏矩阵的知识点。由于代码中的switch-case分支结构拥有6个分支,因此间接里保存的索引内容都是在0-5之间的,然后根据索引来确定跳转到第几个分支上去。case2至case5里保存的地址都是Default分支的地址,这就证明这几个case在程序的源代码中是属于未处理的状态。间接的应用只限于小于等于256的情况,如果超过256这种与跳转相配合的间接就会失效,取而代之的便是著名的二叉树了。
Java - Switch case 语句知识点(面试)解析
Nico的知识小站
03-28 1612
Switch case 语句知识点介绍  Swith case 语句支持的类型   Switch case 语句执行顺序  案例分析以及注意事项  Switch case 语句与if else 语句的区别 1. Swith case 语句支持的类型 Switch case 语句可以用来处理int,short,byte,char,(任何能转换成整型的类型)以及enum枚举类型 ,不能处理long,s...
C# switch语句用法全解析
莫踌躇
06-06 3952
本文全面解析了C#中switch语句的用法。switch语句用于测试变量等于多个值的情况,每个值称为一个case。文章通过代码示例演示了switch语句的基本语法,包括case分支、break语句和default选项的使用。同时详细列出了9条必须遵循的规则,包括达式类型要求、case常量匹配、break语句必要性、default选项作用等。特别指出C#不允许case贯穿执行,但可通过goto实现类似功能。通过阅读可全面掌握C# switch语句的正确使用方法。
【x86汇编】C语言的switch&case结构的反汇编分析
zhangcoder的博客 记录学习轨迹~
10-29 1720
push ebppush ebxpush esipush edipush ebp指令未执行时,打开寄存器窗口发现ESP=0x0012FFC18,为画栈区图做准备EBP的值入栈后,再次查看寄存器窗口发现有两个寄存器的值发生变动:EIP和ESPEIP寄存器(Extend Instruction Pointer 扩展指令指针寄存器,其存储指令的地址。
java中switch case语句需要加入break的原因解析
08-30
Java中switch case语句需要加入break的原因解析 Java中switch case语句需要加入break的原因解析是因为switch语句的执行机制。switch语句的执行机制是根据满足条件从确定的行开始执行,如果不加入break语句跳出...
【Java Switch Case语句解析】:7个优势与5大陷阱,彻底精通Switch Case
[【Java Switch Case语句解析】:7个优势与5大陷阱,彻底精通Switch Case](https://crunchify.com/wp-content/uploads/2016/04/Java-eNum-Comparison-using-equals-operator-and-Switch-statement-Example.png) ...
掌握Switch Case:成绩分类编程实例解析
使用`switch case`处理成绩分类时,程序会首先评估一个代成绩的变量,然后根据该变量的值,程序会跳转到相应的`case`代码块执行。例如,如果成绩为90分以上,则执行“优秀”对应的代码块,如果成绩在80到89分之间...
可密钥轮换的同态加密
10-21
本文提出一种支持密钥轮换与安全更新的同态加密方案(KR-SU-HE),在不解密的前提下实现密文密钥和安全强度的动态升级。方案基于LWE假设,确保外包环境下数据隐私与长期安全性,适用于云计算场景。通过维度切换与重随机化技术,兼顾正确性与安全性,并给出高效实现与参数优化方法。
移动设计jqueryweb一百五十二
最新发布
10-21
c10console-group.html /css /js
完全安全匿名加密方案
10-21
本文提出一种完全安全且带宽高效的匿名密文策略属性基加密(CP-ABE)方案,通过部分隐藏访问策略实现接收者匿名性。该方案利用复合阶双线性群和对偶系统加密技术,在保证细粒度访问控制的同时,实现常数级密文大小与完全语义安全。与现有方案相比,本方案首次在单调访问策略下达成常数密文长度、完全安全性和接收者匿名性的统一,适用于军事、云存储等高安全需求场景。
校园消防知识在线学习-JAVA-基于SSM校园消防知识在线学习网站设计与实现+开题报告
10-21
采用java语言,ssm框架,mysql数据库开发,eclipse作为开发平台 是前台+后台的模式 前台 用户注册 消防知识分类,搜索查看 消防知识测试,单选测试 消防知识学习视频,收藏 消防设备查
(236页PPT)某药集团数字化转型规划与蓝图设计.pptx
10-21
(236页PPT)某药集团数字化转型规划与蓝图设计.pptx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丁金金_chihiro_修行

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值