汇编语言中C比较命令,识别汇编中的c代码结构

8种机械键盘轴体对比

本人程序员，要买一个写代码的键盘，请问红轴和茶轴怎么选？

知识点

本章将通过讨论超过十种的不同的C代码结构来分析不同的汇编代码，帮助我们快速的提升形成恶意代码功能的高级视图的能力

全局变量|局部变量：全局变量可以被程序中任意函数访问和使用，局部变量只能在它被定义的函数中访问，在汇编代码中，全局变量通过内存地址引用，而局部变量通过栈地址引用。

识别if语句：有if语句一定存在跳转，但是有跳转不一定是if语句，if语句前有一个cmp指令用于对比条件，之后会有一个jnz指令来决定是否进行跳转。

for循环：for循环是一个C变成使用的基本循环机制。for循环总之有四个组件：初始化、比较、执行命令、变量的递增或递减。

while循环：while循环与for循环的汇编代码类似，但是区别在于while循环没有递增或者递减的代码。当一个cmp指令返回一定的值后while循环就会终止。

switch语句：switch语句通常以两种方式被编译，使用if样式或者使用跳转表。跳转表是编译器对汇编代码做出的优化，一旦很多个cmp指令的数据成等差数列，则编译器会把跳转地址与数据联系起来做成跳转表。

函数调用约定：函数调用约定决定了函数调用发生的方式，这些约定包含了参数被放在栈上或寄存器中的次序，以及是由调用者还是被调用者负责在函数执行完成时清理栈。以下时常见的三种调用约定;cdecl：这是最常用的调用约定之一，此约定下。参数从右至左被压入栈，当函数执行完成后由调用者清理栈。

stdcall：除了被调用者在函数执行完成之后清理栈之外，其他与cdecl约定非常类似。

fastcall：fastcall调用约定跨编译器时变化最多，但是整体上的工作情况时类似的，在此约定中，前一些参数(典型的是前两个)被传到寄存器中，备用的寄存器是EDX和ECX(微软fastcall约定)，如果需要的话，剩下的参数再以从右至左的次序被加载到栈上，通常使用fastcall比其他约定更高效。

反汇编数组：在汇编代码中，数组是通过一个基地址作为起始点来进行访问的，每一个元素的大小并不总是明显的，但是可以通过看这个数组是如何被索引的来进行判断。

识别结构体：结构体和数组类似，在IDA中可以使用热键T来建立结构体的识别。

课后练习

Lab6-1

在这个实验中，你将分析在文件Lab06-01.exe中发现的恶意代码。

问题

1.由main函数调用的唯一子过程中发现的主要代码结构是什么？

可以由IDA的图形模式很简单的看出这是一个if语句的结构

2.位于0x40105F的子过程是什么？

printf

3.这个程序的目的是什么？

跟着程序的顺序走，先找到main函数：

main函数中只有一处函数调用sub_401000，查看该函数的逻辑：1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30.text:00401000 sub_401000 proc near ; CODE XREF: _main+4↓p

.text:00401000

.text:00401000 var_4 = dword ptr -4

.text:00401000

.text:00401000 push ebp

.text:00401001 mov ebp, esp

.text:00401003 push ecx

.text:00401004 push 0 ; dwReserved

.text:00401006 push 0 ; lpdwFlags

.text:00401008 call ds:InternetGetConnectedState

.text:0040100E mov [ebp+var_4], eax

.text:00401011 cmp [ebp+var_4], 0

.text:00401015 jz short loc_40102B

.text:00401017 push offset aSuccessInterne ; "Success: Internet Connectionn"

.text:0040101C call sub_40105F

.text:00401021 add esp, 4

.text:00401024 mov eax, 1

.text:00401029 jmp short loc_40103A

.text:0040102B

.text:0040102B loc_40102B: ; CODE XREF: sub_401000+15↑j

.text:0040102B push offset aError11NoInter ; "Error 1.1: No Internetn"

.text:00401030 call sub_40105F

.text:00401035 add esp, 4

.text:00401038 xor eax, eax

.text:0040103A

.text:0040103A loc_40103A: ; CODE XREF: sub_401000+29↑j

.text:0040103A mov esp, ebp

.text:0040103C pop ebp

.text:0040103D retn

.text:0040103D sub_401000 endp

可以从以上内容看到决定jz跳转的是函数InternetGetConnectedState，查阅MSDN发现此函数当存在一个可用的网络连接时返回值为1，ZF标志位为0，jz指令不执行，因此程序调用printf输出"Success: Internet Connectionn"否则输出"Error 1.1: No Internetn"。因此可以得出判断这是一个用于测试网络连接状态的函数。

Lab6-2

分析在Lab06-02.exe中发现的恶意代码。

问题

1.main函数调用的第一个子过程执行了什么操作？

发现这道题的程序跟上一题是一模一样的，就是判断当前是否有网络连接。

2.位于0x40117F的子过程是什么？

还是跟上题一样，printf()

3.被main函数调用的第二个子过程做了什么？

尝试下载http://www.practicalmalwareanalysis.com/cc.htm并解析此网页的注释部分。1.data:004070C40000002FChttp://www.practicalmalwareanalysis.com/cc.htm1

2

3

4

5

6

7

8

9if ( Buffer != '

{

sub_401271(aError23FailToG);

result = 0;

}

else

{

result = v5;

}

4.在这个子过程中使用了什么类型的代码结构？

if语句的结构和数组，以下明显是一个数组的比较过程：

5.在这个程序中有任何基于网络的指示吗？

程序会尝试下载网页http://www.practicalmalwareanalysis.com/cc.htm

6.这个恶意代码的目的是什么？

连接http://www.practicalmalwareanalysis.com/cc.htm用于远程命令和控制服务器。

Lab6-3

在这个实验中，我们会分析在文件Lab06-03.exe中发现恶意代码。

问题

1.在比较main函数与实验6-2的main函数调用。从main中调用的新函数是什么？

sub_401130

2.这个新的函数的参数是什么？char a1LPCSTR lpExistingFileName从网页中解析出来的命令程序名

3.这个函数包含的主要代码结构是什么？1

2.text:00401150 mov edx, [ebp+var_8]

.text:00401153 jmp ds:off_4011F2[edx*4] ; switch jump

由这个跳转命令可以得知这里主要的代码结构是switch结构，采用跳转表。

4.这个函数能够做什么？

根据获取到的指令来执行不同的操作，比如创建目录C:\Temp、拷贝文件cc.exe至目录C:\Temp、删除文件、休眠100s、打印错误信息、删除文件。

5.在这个恶意代码中有什么本地特征吗？

创建目录C:\Temp，创建文件cc.exe、注册表键SoftwareMicrosoftWindowsCurrentVersionRun

6.这个恶意代码的目的是什么？

根据网页注释中的命令来选择在目标主机上选择执行不同的功能。

Lab6-4

在这个实验中，我们会分析在文件Lab06-04.exe中发现的恶意代码。

问题

1.在实验6-3和实验6-4的main函数的调用之间的区别是什么？

函数地址发生了变化。

2.新的代码结构已经被添加到main中？

实验6-4的main函数中有一个for循环，而实验6-3是一个if判断语句：

3.这个实验的解析HTML的函数和前面实验中的那些有什么区别？

这个实验中，此函数新增了一个参数作为函数sprintf()的参数

sprintf(&szAgent, aInternetExplor, a1);

4.这个程序会运行多久？(假设它以经连接到互联网)

Sleep函数的参数为

此循环会执行1440次，因此程序会运行1440*60s=1440m=24h=1d

所以此程序会运行整整一天。

5.在这个恶意代码中有什么新的基于网络的迹象吗？

这道题需要细心，之前的HTTP头中的User-Agent使用的是Internet Explorer 7.5/pma，而现在是Internet Explorer 7.5/pma%d

6.这个恶意代码的目的是什么？

在24小时内每一分钟连续尝试从网页上获取命令并执行。

本章结束🎊