1.main()函数的真正原型 int main(int argc,char *argv[],char *envp[]);不信可以查看MSDN。
2.程序会随着main()函数的结束而退出,所以会接近exit()函数。
3.可以用OllDbg的字符串搜索法快速找到main()函数。
4.可以用栈回溯法找到main()函数。
5.三个常用调用约定_cdecl,_fastcaol,_stdcall。
5.一般函数开头:
push ebp
mov ebp,esp
sub esp,0x...
6.几乎所有函数调用都是用栈来传递参数,只有使用-fastcall约定且参数少于等于两个是才会用寄存器传递参数。
7.每一个函数都是以call调用,retn结尾。
8.naked标识创建裸函数,裸函数不包括任何其它的内容,就连函数的返回都要用户自己来实现。
9.判断条件为常量的if-else分支debug版本特征:
cmp ????,????
jxx aaaaaaaa
...................
jmp bbbbbbbb
...................
10.永远不可达的分支编译器会剪掉。
11.以变量为判断条件的if-else分支release版本特征:
cmp ????,????
jxx aaaaaaaa
...............
ret
aaaaaaaa
...............
ret
12.后期多次用到一个函数,将这个函数地址放到寄存器里面,可以减小体积k加快速度。
13.if-else分支的重复语句会被编译器自动合并(release)。
14.有序常量三目运算符release版本特征:
xor reg32,reg32
cmp arg,????
setne reg8
15.无序常量三目运算符release版本数学公式
return=(and(neg(变量-判断值)-neg(变量-判断值)),(分支2的值-分支一的值))+分支一的值。
mov reg32,arg
sub reg32,????
neg reg32
sbb reg32,reg32
and reg32,??
add reg32,sub1
16.CPU本质上只会做加法运算。
17.do-while循环的release版本特征:
A:
............
cmp xxx,xxx
jxx A
18.常量下do-while和while循环的release版本生成的反汇编代码一模一样。
19.release版本的while循环的特征;
cmp xxx,xxx
jxx while_end
while_begin:
...........
cmp xxx,xxx
jxx while_begin
while_end
20.for循环是最后出现的。
21.执行效率最高代码最少的是do-while循环语句。
22.release版本的for循环特征:
初始化
jmp cmp_begin
step_begin:
步长块
cmp_begin:
反条件判断
jxx for_end
.........
jmp step_begin
.............
for_end:
22.三种版本的循环debug版本各不相同。
23.常量为判断条件时,三种循环的release版本反汇编差不多相同。
24.变量为判断条件时,while和for反汇编差不多相同,do_while自成一格
25.循环体内不影响最终结果的语句会被外提优化。
359
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
