C++反汇编揭秘1 一个简略地C++程序反汇编解释分析
2008-10-23 19:39
609 查看
从汇编角度分析C++的实现原理 - 1
本系列主要从汇编角度研究C++语言机制和汇编的对应关系。第一篇自然应该从最简单的开始。C++的源代码如下:
class my_class { public : my_class() { m_member = 1; } void method(int n) { m_member = n; } ~my_class() { m_member = 0; } private : int m_member; }; int _tmain(int argc, _TCHAR* argv[]) { my_class a_class; a_class.method(10); return 0; } |
首先是WinMain:
_TEXT SEGMENT _wmain PROC push ebp ; 保存旧的ebp mov ebp, esp ; ebp保存当前栈的位置 push -1 ; 建立SEH(Structured Exception Handler)链 ; -1表示表头,没有Prev push __ehhandler$_wmain ; SEH异常处理程序的地址 mov eax, DWORD PTR fs:0 ; fs:0指向TEB的内容,头4个字节是当前SEH链的地址 push eax ; 保存起来 sub esp, d8H ; 分配d8H字节的空间 push ebx push esi push edi lea edi, DWORD PTR [ebp-e4H] ; e4H = d8H + 4 * 3,跳过中间ebx, esi, edi mov ecx, 36H ; 36H*4H=d8H,也就是用36H个ccccccccH填满刚才分配的d8H字节空间 mov eax, ccccccccH rep stosd mov eax, DWORD PTR ___security_cookie xor eax, ebp push eax ; ebp ^ __security_cookie压栈保存 lea eax, DWORD PTR [ebp-0cH] ; ebp-0cH是新的SEH链的结构地址(刚压入栈中的栈地址) mov DWORD PTR fs:0, eax ; 设置到TEB中作为当前Active的SEH链表末尾 |
低地址
Security cookie after XOR |
Edi |
Esi |
Ebx |
Local stack: d8H |
Old fs:0 |
__ehhandler$_wmain |
ffffffffH |
Old ebp |
main接着后面调用my_class的构造函数
lea ecx, DWORD PTR [ebp-14H] call ??0my_class@@QAE@XZ ; 调用my_class::my_class, ??my_class@@QAE@XZ是经过Name Mangling后的名字 mov DWORD PTR [ebp-4], 0 ; 进入__try块,在Main中有一个隐式的__try/__except块 |
push 10 ; 参数入栈 lea ecx, DWORD PTR [ebp-14H] ; 遵循thiscall调用协定,ecx存放的是this指针 call ?method@my_class@@QAEXH@Z ; 调用子程序my_class:method(10) |
mov DWORD PTR [ebp-e0H], 0 ; 用来放置返回值 mov DWORD PTR [ebp-4], -1 ; 标记TRY的正常结束 lea ecx, DWORD PTR [ebp-14H] ; a_class的地址作为this存入ECX call ??1my_class@@QAE@XZ ; my_class::~my_class mov eax, DWORD PTR [ebp-e0H] ; 返回值按照约定放入eax中 |
push edx mov ecx, ebp push eax lea edx, DWORD PTR $LN7@wmain call @_RTC_CheckStackVars@8 ; 检查栈 pop eax pop edx mov ecx, DWORD PTR [ebp-0cH] ; 取出之前保存的旧的fs:0,并恢复 mov DWORD PTR fs:0, ecx pop ecx pop edi pop esi pop ebx add esp, e4H ; 退掉分配的d8H + 建立SEH链所需的0cH字节 cmp ebp, esp call __RTC_CheckEsp ; 检查esp值,这个时候esp应该和ebp匹配,否则说明出现了栈不平衡的情况,这种情况下调用子程序报错 mov esp, ebp ; 恢复ebp到esp pop ebp ; 恢复原来的ebp值 ret 0 _wmain ENDP |
Text$x SEGMENT __unwindfunclet$_wmain$0: ; 当SEH发生的时候会调用该函数,析购a_class lea ecx, DWORD PTR [ebp-14H] ; ecx = [ebp – 14H],也就是a_class的地址 jmp ??1my_class@@QAE@XZ ; 调用my_class::~my_class __ehhandler$_wmain: mov edx, DWORD PTR [esp+8] ; esp = 当前的fs:0, [esp + 8] = 之前的SEH结构,也就是main中建立的 lea eax, DWORD PTR [edx+0cH] ; edx + 0Ch = 当前的ebp,也就是main的ebp,此时不能直接使用ebp因为可能会从任意函数调过来,此时ebp是该函数的ebp,而不是main的ebp mov ecx, DWORD PTR [edx-e0H] ; 之前存下去的__security_cookie ^ ebp xor ecx, eax ; 再次和ebp相异或 call @__security_check_cookie@4 ; 此时ecx应该等于__security_cookie,否则说明栈的内容被恶意改动(或者编程错误) mov eax, OFFSET __ehfuncinfo$_wmain jmp ___CxxFrameHandler3 text$x ENDS |
_TEXT SEGMENT ??0my_class@@QAE@XZ PROC push ebp ; 保存旧的ebp mov ebp, esp ; ebp保存当前栈的位置 sub esp, ccH ; 给栈分配ccH个字节 push ebx ; 保存常用寄存器 push esi push edi push ecx lea edi, DWORD PTR [ebp-ccH] ; 从分配的位置开始 mov ecx, 33H ; 写33H个ccccccccH mov eax, ccccccccH ; 也就是33H*4H=ccH,正好是分配的大小 rep stosd ; 从而把整个栈上当前分配的空间用ccH填满 pop ecx mov DWORD PTR [ebp-8], ecx ; 按照约定,一般用ECX保存this指针 ; 把this存入到ebp-8,并不是很必要,因为这是Debug版本 ; 10 : { ; 11 : m_member = 1; mov eax, DWORD PTR [ebp-8] ; eax中存放this mov DWORD PTR [eax], 1 ; this的头四个byte是m_member的内容 ; 12 : } mov eax, DWORD PTR [ebp-8] ; 多余的一句话,可以优化掉 pop edi pop esi pop ebx mov esp, ebp ; 恢复esp,因此就算是中间栈运算出错,最后也不会导致灾难性的结果,只要ebp还是正确的 pop ebp ret 0 ??0my_class@@QAE@XZ ENDP |
_TEXT SEGMENT ?method@my_class@@QAEXH@Z PROC ; my_class::method ; 15 : { push ebp mov ebp, esp sub esp, ccH push ebx push esi push edi push ecx lea edi, DWORD PTR [ebp-ccH] mov ecx, 33H mov eax, ccccccccH rep stosd pop ecx mov DWORD PTR [ebp-8], ecx ; 16 : m_member = n; mov eax, DWORD PTR [ebp-8] ; eax中存放this mov ecx, DWORD PTR [ebp+8] ; ebp -> ebp ; ebp + 4 -> IP ; ebp + 8 -> n ; 把n存入ecx中 mov DWORD PTR [eax], ecx ; this头四个字节是m_member, 因此这句话就是m_member = n ; 17 : } pop edi pop esi pop ebx mov esp, ebp pop ebp ret 4 ; 等价于 ; ret 恢复EIP,返回调用地址 ; add esp, 4 -> 把n从栈上Pop掉 ?method@my_class@@QAEXH@Z ENDP |
_TEXT SEGMENT ??1my_class@@QAE@XZ PROC ; my_class::~my_class ; 20 : { push ebp mov ebp, esp sub esp, 204 push ebx push esi push edi push ecx lea edi, DWORD PTR [ebp-204] mov ecx, 33H mov eax, ccccccccH rep stosd pop ecx mov DWORD PTR _this$[ebp], ecx ; 21 : m_member = 0; mov eax, DWORD PTR [ebp-8] mov DWORD PTR [eax], 0 ; 22 : } pop edi pop esi pop ebx mov esp, ebp pop ebp ret 0 ??1my_class@@QAE@XZ ENDP ; my_class::~my_class _TEXT ENDS |
相关文章推荐
- C++反汇编揭秘1 – 一个简单C++程序反汇编解析 (Rev. 3)
- 转:C++反汇编揭秘1 一个简单的C++程序反汇编解析
- C++反汇编揭秘1 – 一个简单C++程序反汇编解析 (Rev. 3)
- C++反汇编揭秘1 – 一个简单C++程序反汇编解析 (Rev. 3) - [C/C++]
- C++反汇编揭秘1 – 一个简单C++程序反汇编解析 (Rev. 3)
- C++反汇编揭秘1 – 一个简单C++程序反汇编解析 (Rev. 3)
- C++反汇编揭秘1 一个简单的C++程序反汇编解析
- C++反汇编揭秘1 一个简单的C++程序反汇编解析
- C++反汇编揭秘1 – 一个简单C++程序反汇编解析
- C++反汇编揭秘:一个简单的C++程序反汇编解析
- 通过反汇编一个简单的C程序,分析汇编代码理解计算机是如何工作的
- Linux内核分析课程--通过反汇编一个简单的c程序,分析汇编代码并理解计算机如何工作的
- 第一次尝试汇编:一个简单C程序的分析。
- 逆向分析一个完整的C++程序包含寄存器与参数传递详解
- 通过分析一个C程序的汇编指令执行过程,理解计算机的工作。
- 分析一个简单C程序的汇编代码,理解计算机是如何工作的
- 通过反汇编一个简单的C程序,分析汇编代码理解计算机是如何工作的(原创)
- 通过汇编一个简单的C程序,分析汇编代码理解计算机是如何工作的
- 用汇编分析C++程序
- 通过汇编一个简单的C程序,分析汇编代码理解计算机是如何工作的