C调用简单函数的反汇编分析记录

最新推荐文章于 2022-09-25 12:34:19 发布
最新推荐文章于 2022-09-25 12:34:19 发布
阅读量1.1k 收藏
点赞数
分类专栏: C 编译 文章标签: C 汇编 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012842205/article/details/43938541
版权
C 同时被 2 个专栏收录
32 篇文章 0 订阅
订阅专栏
编译
11 篇文章 0 订阅
订阅专栏

       前两天摆弄了一下windows下的反汇编工具OllyDbg, 用起来不错,于是自己写了一个C的小程序反汇编试试。程序很简单,定义了两个自定义函数,add () 和 sub (),并传入参数。因为传入参数都只是两个,而且都是int型,总共8字节,所以这样的函数不需要用传入参数块首地址的方式传参,一般这样的函数调用都是简单函数。

此次尝试使用的OllyDbg版本为2.01 ,使用的C编译器为gcc 3.4.0 (mingw special), 运行平台为win 7 x64 sp1。

C源代码:

#include <stdio.h>

int add (int, int);
int sub (int, int);


int add (int _x, int _y) {
	int tmp = _x + _y;
	return tmp;
}

int sub (int _x, int _y) {
	int tmp = _x - _y;
	return tmp;
}

int
 main (int argc, char** argv) {
	int x = 20;
	int y = 19;
	int res_add, res_sub;
	
	res_add = add (x, y);
	res_sub = sub (x, y);
	 
	printf ("add = %d, sub = %d\n", res_add, res_sub);
	return 0;
 }
C语言编译出的可执行文件,其函数的调用多半是遵循下面的步骤: (我的电脑用的32位机)

1) push ebp  ; 将当前上下文中的ebp值压入堆栈,

2) mov ebp, esp ;  将当前的esp 值存入ebp, 之后ebp的值基本上不变,就用ebp 结合esi 得到压入栈中的函数参数,

3) 参数压栈,此时会改变esp的值,但之前上下文中的值已经压入栈中,还可以还原回来。

4) call fxn  ; 调用函数, fxn用函数起始地址代替(偏移地址)

由于这次写的C程序使用了printf (),所以可以以此作为目标,查看到底在调用哪个函数后(单步执行)控制台输出了数据。

使用OllyDbg反汇编:


这里只截取了编译出的代码部分;可以看到,在反汇编后,OllyDbg会自动将cs:si指向程序起始运行位置。但目前我还说不清楚这个位置到底是在什么的起始位置,是初始化结束后,还是main 的位置?希望高人指点。

此后一直按F8 (单步执行)运行到地址为0x00401253的位置,看到代码为  call 004011e0,即是调用函数,当单步执行后,发现控制台马上输出了字符串,说明调用两个函数和printf 的就是在这个 地址为0x004011e0的函数中。重新载入exe , 步入执行这条指令。


发现函数中又调用了很多函数,有的地址有标注,有的没有,但可以通过查看它们所在的偏移地址知道到底是属于哪个模块(dll 或者 exe等 PE文件)。通过视图-> 内存映射得到所有的内存块描述:

由此可以查看函数属于哪个地址段,在kernel32.dll还是在 msvcrt.dll等。这样就好猜测函数到底是不是用户定义函数了。

接着上面说,进入调用的0x004011e0函数后,得到刚才的代码,出现大量的call函数(其中很多地址都是0x0040... 开头的可能就是引入头文件时定义的一些函数)。再使用F8 单步执行,查看什么时候控制台出现字符串输出。当运行到0x00401228处的代码后,输出了,由此可以再次进入这个函数试试。重新载入,到0x00401228 处的代码(call 004012fa),这回看到了比较熟悉的注释:printf (),在地址0x00401371处, call <jmp.&msvcrt.printf>

在调用之前还分析出了printf 格式字符串中的两个%d,都是用mov 指令从栈中转移到指定位置的(为调用printf 准备的参数栈)。我们都知道C的普通函数返回值(若有的话)都存储在eax中。这里是从eax 传入到printf 参数栈中合适的位置。说明调用的函数就是前面的call 004012e4和 call 00401200,看来这两个函数找到了!

最后分析一下函数的调用过程,只取其中一个函数0x004012d0分析,这个函数应该就是我们定义的add () 函数。


在调用之前,会有参数压栈过程,但是这里常规的push ebp 和 mov ebp,esp 却在call 00401738和 call 00401490之前,而这两个函数做什么用,目前我不清楚。C stdcall 都是参数从左到右压栈,于是可以看到0x00401324 和0x0040132B处的代码是先压入14, 再压入13,又通过eax将数据转移到esp适当的位置,等待函数调用。进入函数:

如此这里出现了一直寻找的push ebp 和 mov ebp, esp ,之后就可以通过ebp访问传入的参数了。当然,调用结束后,还要恢复调用前上下文的esp和ebp,这里就交给了leave和retn处理。32位机中,leave 同

mov esp, ebp

pop ebp


_nMaple_
关注
专栏目录
反汇编深入分析函数调用
07-27
通过对上述C语言源代码的反汇编分析,我们不仅了解了函数调用的一般流程,还学习了如何在汇编级别上追踪函数调用的具体细节。这种能力对于理解和分析二进制程序至关重要,尤其是在安全领域中进行漏洞挖掘或恶意软件...
反汇编理解堆栈及printf
JingweiZhu
06-08 2215
#include int main() {     long long a = 1, b = 2, c = 3;     printf("%d %d %d\n", a,b,c);     return 0; } //Tencent某年实习生笔试题目
部分C库函数重写以及反汇编分析之memcpy()
yuanlanjun
07-27 495
为了打牢基本功,重写部分C库函数(参考C库与别人的代码,并给出了测试代码),并对部分进行反汇编分析(用VC自带反汇编和OD)。在写程序过程中,会仔细验证很多以前模棱两可的知识点。 1. /*从源src所指的内存地址的起始位置开始拷贝n个字节到目标dest所指的内存地址的起始位置中1.source和destin所指内存区域不能重叠,函数返回指向destin的指针。   2.与strcpy相比...
反汇编——逆向初步(2)
Confession 的技术频道
01-23 963
逆向初步(1)介绍的是if……else语句在反汇编中的事例,现在我们来看看switch……case语句在反汇编长啥样。我们先来看一段简单的使用switch……case语句的程序,其代码如下: #include main() {         int c = 5;         switch(c)         {         case 0:                 printf
C++反汇编 利用反汇编分析常见C/C++语句的底层实现(硬核)
最新发布
ylh的博客
09-25 5115
解释了底层C语言的语句执行情况,在此后,我也会写很多有意义的C++反汇编的代码,帮助大家理解C/C++的底层含义。
C语言实现反汇编【微机原理】
小心星的博客
03-19 2509
C语言实现反汇编【微机原理】
利用反汇编手段解析c语言函数
01-17
为了更好地理解上述理论,我们可以通过Visual C++ 6.0等工具对C语言程序进行反汇编分析。比如,编写一个简单函数调用示例,使用反汇编工具查看其对应的汇编代码,从而深入了解函数调用的具体过程。 #### 五、总结...
利用反汇编手段解析C语言函数.pdf
09-19
本文通过对C语言函数反汇编分析,揭示了高级语言在底层的具体实现,利于加深对变量、函数调用过程的理解,理解高级语言中部分约定的底层根源,从而减少和避免使用中的错误。 通过反汇编手段,我们可以分析到C语言...
C语言函数调用参数压栈的相关问题
07-29
"C语言函数调用参数压栈的相关问题" 本文主要讲解了C语言函数调用参数压栈的相关问题。函数调用时,参数入栈的顺序是一个经常被问到的问题。很多人认为参数入栈的顺序是从右向左,但是这只是部分正确的。事实上,...
微机原理与汇编语言中的指令JMP、CALL的区别
爱她就要努力
02-24 1万+
汇编语言中,JMP是无条件转移指令,CALL是子程序调用指令。 指令JMP、CALL的区别在于,JMP指令控制程序直接跳转到目标地址执行程序,程序总是顺序执行,指令本身无堆栈操作过程。CALL指令跳转到指定目标地址执行子程序,执行完子程序后,会返回CALL指令的下一条指令处执行程序,执行CALL指令有堆栈操作过程。 举例如下: JMP NEAR NEXT;跳转到NEXT执行程序 … NEXT: ;...
C语言函数反汇编
qq_20254219的博客
03-24 4290
C语言函数反汇编 ​ 从反汇编的角度,看C是怎么创建函数的。在创建函数的过程中系统做了哪些准备,数据被存放在那里,又是如何完成函数操作的,参数与局部变量在底层硬件中又是怎么流动的? 函数的创建与堆栈操作密切相关 空函数函数 带参函数 无参、有局部变量的函数 带参且有局部变量的函数 ​ 分别从这些函数入手,查看反汇编代码,发现异同,从而加深C语言函数定义的正向理解,以及函数反汇编代码。 空函数与主函数: //空函数与主函数 #include "stdio.h" void Plus(){ }
由cve-2019-9766引出的缓冲区漏洞学习
zwish的信安之路
06-25 1588
通过工程实践引出的缓冲区溢出,缓冲区溢出 缓冲区攻击的最终目的就是希望系统能执行这块可读写内存中已经被蓄意设定好的恶意代码。 1、栈的结构 1、先进后出。 2、在内存中表现为从高地址往低地址增长。 3、栈顶:栈的最上方(低地址区)。 4、栈低:栈的最下方(高地址区)。 基本的进程地址空间分布: 2、基本栈溢出: 缓冲区溢出示意图: 如果在数据段(右边的data)就保存了一系列的指令的二进制代码...
函数反汇编
云淡风轻
05-01 1783
内容如题。将函数反汇编后看看都有些什么东西。。。代码如下:void f() { int j; j = 0xfffffff; } void main() { int i; i = 0xeeee; f(); } 上面这个代码简单的不能再简单了吧。这里主要分析一下函数f()的代码(main的很类似,注意是类似不是相同)void f() { 0042D680 push ebp 0042D681 mov ebp,esp 0042D683
X86-64和ARM64用户栈的结构 (3) ---_start到__libc_start_main
weixin_34417635的博客
08-07 845
1 x86-64 本节主要核心是介绍x86-64体系结构下的_start函数,该函数是由x86-64汇编写成;调用__libc_start_main函数向其传递参数。因此需要先了解一些x86-64的栈帧结构、寄存器、以及参数传递规则。 1.1 栈帧(Stack Frame) Linux使用System V Application Binary Interface的函数调用规则。在《System V...
通过Visual C++进行简单C语言函数反汇编操作
leafsatr的博客
03-27 3070
学习目标: 通过Visual C++进行简单C语言函数反汇编操作 学习内容: 1、 使用VC进行反汇编操作 2、 进行反汇编分析 学习过程: 1、 使用VC进行反汇编操作 编写简单函数,进行操作。 右键添加断点。 点击此处进入debug模式 在空白处右键打开一些窗口: 我打开了以上窗口 这个是寄存器窗口,可以查看各个寄存器窗口的地址值,可以才分析时查看各个变量的值的存放位置及存放的值。 这里查询地址,可以复制搜索寄存器的地址然后看反汇编语句里面的具体变量存放地址,来查看 这个是调试窗
C++ 反汇编函数与结构体
CSDN
04-22 8259
函数是任何一个高级语言中必须要存在的一个东西,使用函数式编程可以让程序可读性更高,充分发挥了模块化设计思想的精髓,今天我将带大家一起来探索函数的实现机理,探索编译器到底是如何对函数这个关键字进行实现的,从而更好地理解编译行为。
strlen函数反汇编
潜心学习
08-21 1870
这是strlen的反汇编代码 004010F0 >/$ 8B4C24 04 mov ecx,dword ptr ss:[esp+0x4] ; ecx=字符串地址 004010F4 |. F7C1 03000000 test ecx,0x3 004010FA |. 74 14 je short Test_CPP.00401110 004010
利用反汇编手段解析C语言函数
热门推荐
宋金时的专栏
12-29 1万+
1问题的提出 函数是 C语言中的重要概念。利用好函数能够充分利用系统库的功能写出模块独立、易于维护和修改的程序。函数并不是 C 语言独有的概念,其他语言中的方法、过程等本质上都是函数。可见函数在教学中的重要意义。在教学中一般采用画简单的堆栈图的方式描述函数调用,但由于学生对堆栈没有直观认识,难以深入理解,因此教学效果往往并不理想,从而限制了对模块化程序设计思想的理解和应用。 2解决方法 在《
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值