C语言反汇编选择语句(二)之switch与shellcode

最新推荐文章于 2021-06-09 17:45:45 发布
最新推荐文章于 2021-06-09 17:45:45 发布
阅读量413 收藏
点赞数 1
分类专栏: 二进制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43901038/article/details/104416579
版权

文章目录

1、代码示例:

首先附上一段switch示例代码:
代码简要:输入一个数C,然后switch判断符合哪种case,根据相应的case对 t 进行赋值,最后输出 t 的值。

int main(int argc, char* argv[])
{
printf("Hello World!\n");
int c,t;
scanf("%d",&c);

switch(c)
{
	case 0 : t = 0;break;
	case 1 : t = 1;
	case 2 : t = 2;break;
	default: t = 10;
}

printf("%d\n",t);
return 0;
}
2、反汇编:

如下图,可以发现switch与 if 选择语句有点类似。
参数赋值: 首先将swtich中的参数 C (在内存单元【ebp - 4】)放入 寄存器 ecx 中,然后再将 ecx 赋值给内存单元【ebp - 0Ch】(这个单元是之后需要进行比较的)。
条件判断: 然后用cmp指令依次将内存单元【ebp - 0Ch】与case参数:0,1,2,如果满足 je (相等),那么 je 便会根据case参数的满足情况,跳转到相应的case代码中。
break的作用: 由于汇编是顺序执行的,如果case 中没有break,那么下一个case也将会被顺位执行,例如:case 1 中不含有break,因此当 C = 1 时,先执行 t = 1,之后将顺位执行 case 2,即 t = 2,然后break跳出swtich语句。
break执行原理: jmp + 地址,直接跳转到指定地址。在这里我们只刚好跳出switch语句,然后执行后面的第一句。
在这里插入图片描述

3、汇编实现:
(1)、总体代码:
int main(int argc, char* argv[])
{
	printf("Hello World!\n");
	int c,t;
	scanf("%d",&c);

		_asm{
//		add ebx,2	;shellcode的定址
//		push ebx
		mov eax, [ebp-4]
		cmp eax, 0
		je L0
		cmp eax, 1
		je L1
		cmp eax, 2
		je L2
		mov eax, 10default语句开始
		mov [ebp-8], eax
		jmp L
	
L0:	mov eax, 0
	mov [ebp-8], eax
	jmp L

L1:	mov eax, 1
	mov [ebp-8], eax
	//jmp L 因为case 1不含有break语句,因此去掉jmp

L2:	mov eax, 2
	mov [ebp-8], eax
	jmp L

L:	nop
	//ret
		}
	printf("%d\n",t);
	return 0;
}
(2)、知识前提:

(1)、c 和 t 的位置:在进行main()函数时,首先将会有一堆保护栈代码的机制,就有

push ebp
mov ebp, esp

ebp是此时栈空间的基址,当我们定义 " int c, t ; " 时,计算机将参数从左至右压入栈内存空间中,因此 C存放在【ebp - 4】; t 存放在 【ebp - 8】当中。

(3)、代码解析:

(1)、实现swtich功能:
如下,在此我们仿照反汇编代码,将参数C的值(存放在【ebp - 4 】)赋值给eax,然后将case情况依次和eax进行比较,如果满足 je ,那么进行指定对应的跳转。

//		add ebx,2	;这两句在shellcode执行时会用上
//		push ebx
		
		mov eax, [ebp-4]
		cmp eax, 0
		je L0

例如,当 C = 1(case中不含有break),不断 cmp 之后,将会 je 跳转到 L1 模块,由于不含break,因此将会执行 L2,因此我们将 L2放在 L1模块之后。

L1:	mov eax, 1
	mov [ebp-8], eax
	//jmp L 因为case 1不含有break语句,因此去掉jmp
L2: mov eax, 2

(2)、case-break功能:我们将每个case都放入一个对应的代码块中,当switch满足条件时,便 je + 相对应的代码块。
由于函数是从上到下执行的,因此,我们将default模块设置在switch代码的最下面。
注意: L代码块最后面有一个ret语句,这是下面shellcode中需要用到的这里注释与否不影响运行。
在这里插入图片描述

4、 转变为shellcode:

**拓展:**首先简要介绍一下ret指令,

ret指令一般与call指令联合使用类似于函数的调用。
call的本质其实就是:
(1)、push eip (2)、jmp 寄存器
即将当前主程序中的 eip 入栈,然后 jmp 跳转到相应的子程序。
ret的本质为:
pop eip
即将之前栈中的地址出栈,从而返回原来的主程序中。

上述代码单步调试没有问题的情况下,我们将_asm汇编语言中的指令机器码提取出来,变成十六进制的格式。

利用一下代码进行执行。
在这里插入图片描述
这个是之前的一个示例代码,首先我们将shellcode的首地址赋值给eax寄存器,然后将eax寄存器的值(即shellcode的首地址)push入栈,之后执行ret指令(即 pop eip ),此时 eip = shellcode的首地址 ,然后程序按照eip 开始执行 shellcode。**但是每次执行完shellcode 最后一句话时,我们发现程序并没有回到 _asm 代码块,而是会继续执行shellcode后面的不知名空间,然后造成程序报错。**如下:
在这里插入图片描述
我们可以发现造成错误的原因是因为我们没有将shellcode地址结尾进行调转,以至于它回不来了。也就是它的 eip 没有变回到原来的eip 以至于产生错误。

5、shellcode地址的调转

上面我们发现错误的原因是因为 eip 的地址没有进行复。因此我们可以设想在执行shellcode 前将 eip 地址保存到某个位置,然后执行借宿后我们再将 eip 的值取出,这样我们便可以回到原来的位置了。
但是由于 eip 是一个特殊的寄存器,不能直接改变 eip 的值。但是我们可以通过 call/ret间接的改变 eip 的值。(关于 call/ret 我们前面有讲解)
(1)、首先,由于call/ret 是通过 push 和 pop 来改变eip的值,因此我们观察 eip变化 与栈空间的联系。
如下是执行完 push eax, shellcode的栈空间。
在这里插入图片描述
执行完 ret 指令,我们发现 esp + 4,即之前 ret 指令 pop 掉了sellcode 的首地址,此时 esp 指向的是后面的空间地址。
在这里插入图片描述
因此,我们可以在执行shellcode之前将需要的 New_eip(哈哈,自定义的名字) push 在内存单元中,在shellcode 的结尾代码加上 ret 指令,那么 pop eip 之后,eip 将会等于上图中第二个框框中的代码New_eip。如下图,因为我们接下来是让程序执行printf的指令,因此我们需要观察 New_eip与printf相差的值X,然后 " add New_eip, x " 和 ” push New_eip “。
在这里插入图片描述
实践如下:
首先获取 eip 的值。
在这里插入图片描述
然后将 eip 变成我们需要的值(即 printf 的 eip 值),然后将其保存。如下,我们可以很好的发现eip 距离相差的值为 2。因此add 2后,便可以直接push ebx了。
在这里插入图片描述

6、最终shellcdoe代码

如下,为代码实现部分,
在这里插入图片描述
在这里插入图片描述
最后,附上带有shellcode的源码嘛:

// test0219_switch.cpp : Defines the entry point for the console application.
//
#pragma comment(linker, "/section:.data,RWE")

#include "stdafx.h"

char shellcode[] = "\x83\xc3\x02\x53\x8b\x45\xfc\x83\xf8\x00\x74\x14\x83\xf8\x01\x74\x19\x83\xf8\x02\x74\x1c\xb8\x0a\x00\x00\x00\x8b\x45\xfc\x83\xf8\x00\x74\x14\x83\xf8\x01\x74\x19\x83\xf8\x02\x74\x1c\xb8\x0a\x00\x00\x00\x89\x45\xf8\xeb\x12\xb8\x01\x00\x00\x00\x89\x45\xf8\xb8\x02\x00\x00\x00\x89\x45\xf8\xeb\x00\xc3";

int main(int argc, char* argv[])
{
	printf("Hello World!\n");
	int c,t;
	scanf("%d",&c);
	
		_asm{
		lea eax,shellcode
		push eax
		call next
	next:pop ebx
		ret
	}

/*** C语言代码:
	switch(c)
	{
	case 0 : t = 0;break;
	case 1 : t = 1;
	case 2 : t = 2;break;
	default: t = 10;
	}
*/

	/*
		_asm{
		add ebx,2
		push ebx
		mov eax, [ebp-4]
		cmp eax, 0
		je L0
		cmp eax, 1
		je L1
		cmp eax, 2
		je L2
		mov eax, 10
		mov [ebp-8], eax
		jmp L
	
L0:	mov eax, 0
	mov [ebp-8], eax
	jmp L

L1:	mov eax, 1
	mov [ebp-8], eax
	//jmp L

L2:	mov eax, 2
	mov [ebp-8], eax
	jmp L

L:	ret
		}
		
	*/

	printf("%d\n",t);
	return 0;
}
xor0ne_10_01
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shellconv:用于反汇编shellcode的小工具(使用objdump)
02-25
Shellconv 拆卸shellcode的小工具(使用objdump) Use: ./shellconv.py [inFile] [arch:optional] [outFile:optional] arch: defined as in objdump -m, default: i386 免责声明该工具旨在简化。 如果shellcode复杂/混淆,它可能不会给出正确的结果。 在这种情况下,请参考具有适当复杂性的工具。 例子: expdb1.shc: "\x31\xc0\x31\xd2\x50\x68\x37\x37\x37\x31\x68\x2d\x76\x70\x31\x89\xe6\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x68\x2d\x6c\x65\x2f\x89\xe7\x50\x68\x2f\x2f\x6e\x63\
switch反汇编(C语言)
ai74583的博客
09-07 228
在分支较多的时候,switch的效率比if高,在反汇编中我们即可看到效率高的原因 0x01分支结构不超过3个 #include <stdio.h> void main() { int x = 5; switch(x) { case 5: printf("%d\n",x); break; case 6:...
c语言 switch反汇编
qq_45951598的博客
06-09 896
switch语句反汇编 一、switch语句 1、在正向编码时,switch语句可以看做是if语句的简写 2、break在switch语句的妙用 1、当switch存在3个分支时 当去掉break的时候 switch语句反汇编 1、当switch存在3个分支时 #include<stdio.h> void Function(int x) { switch (x) { case 1: printf("1"); case 2: printf("2"); cas
C语言 switch语句反汇编
lygl35的博客
02-09 200
三条分支的switch 语句的汇编结构 #include <stdio.h> #include <string.h> void Fun(int x) { switch (x) { case 1: printf("1"); break; case 2: printf("2"); break; case 3: printf("3"); break; default: printf("5"); break; } } int mai...
C语言反汇编选择语句(一)
Xor0ne
02-18 599
1、选择语句 (1)、if语句 示例代码: #include "stdafx.h" int main(int argc, char* argv[]) { printf("Hello World!\n"); int a,b,temp; a = 4; b = 3; if( a < b ) { //将a和b的值互换 temp = a; a = b; b = temp...
demc.rar_16位exe反汇编_DECOMPILE_demc_反编译 C_脱壳
最新发布
09-23
这一步通常比反汇编更为复杂,因为汇编语言与高级语言之间存在多对一的映射关系。DEMC可能包含反编译功能,允许用户将16位的汇编代码转换为C代码,这样就可以更容易地理解和修改原始程序的逻辑。然而,由于反编译的...
shellcode中文手册汇编.pdf
10-08
( shellcode中文手册汇编.pdf ) 更多见:http://pan.baidu.com/wap/share/home?uk=1023919189
汇编转为shellcode形式
01-15
本程序开发环境为VC6.0,将汇编语言转为C语言或unicodeshellcode形式并保存在记事本中。
利器!schelper151_shellcode转为64位汇编32位汇编(包密码为123)
02-10
shellcode转为64位汇编32位汇编 也可以将64位汇编32位汇编转为各种类型的...例如我要将C语言数组类型的shellcode转化为64位汇编,命令为: schelper.exe -i c.txt -s 0 -d 27 -dp x64 其中把shellcode写到文件c.txt
Shellcode
天使也掉毛
10-18 6833
Shellcode
switch语句反汇编分析
backer
10-03 2808
一、简单swith语句反汇编分析 Switch语句如下:                                                     反汇编代码为:    将局部变量flag存放现在栈底即[ebp-8],然后通过eax做中转,在[ebp-4]存放一个flag的备份,复制到ecx中对其进行减一操作,其中的1则是c
switch反汇编的四种形式
LDWJ2016的博客
10-14 1197
第一种形式: 当分支比较少时(VC6小于4),翻译成IF...ELSE结构。 第种形式: 当分支比较多且分支常量连续时,生成一张大表。 第三种形式: 当分支比较多,分支常量连续但分支常量中间有少量断档时,生成一张大表,断档的分支在表中用default分支地址填充。 第四种形式: 当分支比较多,分支常量连续但分支常量中间有大量断档时,生成一张大表 + 一张小表,断档的分支不在占用大表的空
两种ShellCode
Bill
02-16 386
两种ShellCode 1. 第一种 \x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80 对应的汇编代码: section .text global _start _start: push eax push 0x6873...
shellcode转换成汇编代码
SauceJ的专栏
09-16 5023
方法1:提取ShellCode中的机器码---->把机器码粘贴到WinHEX并保存成exe文件---->用C32Asm反汇编---->得到反汇编码。 方法2:提取ShellCode中的机器码---->用OllyDBG随便打开一个exe程序---->把机器码直接进制粘贴到OllyDBG---->得到反汇编码。
C语言switch语句和while语句,快速识别汇编中等价的C语言语句(if, while, for, switch)...
weixin_39862871的博客
05-18 247
可能经常看汇编的朋友会一眼就认出跟C语言中一些语句等价的汇编代码, 经验使然也. 而不经常接触汇编的同学, 可能就对相对繁琐的寄存器操作指令有点云里雾里了.汇编是编译器翻译中级语言(也可以把C语言称作高级语言, 呵呵)的结果, 只要是机器做的事儿,一般都有规律可循. 那我们现在就来看看一下这些基本语句的汇编规律吧.注意:本文使用的汇编格式为GAS(Gnu ASembler GNU汇编器). 它同I...
c++反汇编学习笔记-------------篇外1、if和switch效率的实测
我们仍旧还是那年追逐着C++的少年的影子
09-20 854
学完 c++反汇编学习笔记———-3.流程控制这篇之后就做了if-else和switch的效率测试,实际检验了一下这两种多分支方式在debug模式下代码的效率: 因为代码过长,给出测试的部分代码如下#define IF(x,y) if(x==y)fprintf(in,"%d",y) #define ELIF(x,y) else if(x==y)fprintf(in,"%d",y)int tes
基于地址跳转表实现汇编“SWITCH
大西瓜不甜的博客
01-07 614
使用自定义地址跳转表的方式,实现switch功能;也可作为汇编测试程序,会根据parameter的值选择程序分支 并通过2号系统功能实现屏幕打印出分支次序 ; You may customize this and other start-up templates; ; The location of this template is c:\emu8086\inc\0_com_template.txt DSEG SEGMENT TABLE DW SUB1,SUB2,SUB3,SUB4 .
shellcode转换为汇编代码的方法
counsellor的专栏
07-05 6594
0x00 shellcode 这段是楼主最近在看历史中的exp时发现的shellcode,功能是弹计算器,在09年时使用很广泛,但是没有找到相关的分析文献,准备有时间研究下。 0xdb 0xc0 0x31 0xc9 0xbf 0x7c 0x16 0x70 0xcc 0xd9 0x74 0x24 0xf4 0xb1 0x1e 0x58 0x31 0x78 0x18 0x83 0xe8 0xfc ...
利用反汇编手段解析C语言函数
bcbobo21cn的专栏
08-29 240
利用反汇编手段解析C语言函数 通过在 Visual C++6.0 下反汇编一个 32 位 C语言程序的部分代码来解析解释函数调用的具体过程。 函数调用过程 函数调用过程主要由参数传递、地址跳转、局部变量分配和赋初值、执行函数体,结果返回等几个步骤组成。 参数传递及函数跳转 参数由实参传递给形参。在底层实现上,即是实参按照函数调用规定压入堆栈。参数传递完成后就通过CALL指令由当前程序跳转到子程序处。 局部变量分配并赋值 函 数的“{”被认为是分配局部变量空间的时机。在汇编层面局部变量分配体现为.
ARM汇编基础与Shellcode编写实战
"这篇文档是关于在ARM平台上编写汇编语言SHELLCODE的教程,适合初学者入门。它涵盖了ARM汇编基础、常用指令、模式切换、地址计算、分支指令,以及如何编写ARM Shellcode,包括系统调用、参数映射、逆向工程等实践...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值