科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道基础软件[张羿]C++反汇编揭秘1 – 一个简单C++程序反汇编解析 (Rev. 3)

[张羿]C++反汇编揭秘1 – 一个简单C++程序反汇编解析 (Rev. 3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如果想要了解C++内部的实现原理,没有什么比观察C++代码对应的汇编代码来的更直接了。e4H = d8H + 4 * 3,跳过之前建立SEH链所用的3个Push指令所占用的栈的空间,以及sub esp, d8h为局部变量分配的d8H字节空间 

作者:张羿 来源:CSDN 2007年10月16日

关键字: 反汇编 C++ 张羿

  • 评论
  • 分享微博
  • 分享邮件

  如果想要了解C++内部的实现原理,没有什么比观察C++代码对应的汇编代码来的更直接了。本系列主要从汇编角度研究C++代码和汇编的对应关系,揭示C++内部的机制和原理。在第一篇文章中我将从一个简单的C++程序着手快速解释一下C++反汇编代码的基本的结构和内容,相当于一个简单的Preview。而在后续的文章中,我将根据不同的Topic,详细解释C++代码对应的反汇编代码。

  一个简单的C++程序示例如下:

  class my_class

  {

  public :

  my_class()

  {

  m_member = 1;

  }

  

  void method(int n)

  {

  m_member = n;

  }

  

  ~my_class()

  {

  m_member = 0;

  }

  

  private :

  int m_member;

  };

  

  int _tmain(int argc, _TCHAR* argv[])

  {

  my_class a_class;

  a_class.method(10);

  

  return 0;

  }

  可以直接Debug的时候看到Assembly代码,不过这样获得的代码注释比较少。比较理想的方法是利用VC编译器的一个选项/FAs来生成对应的汇编代码。/FAs还会在汇编代码中加入注释注明和C++代码的对应关系,十分有助于分析。在VS2005中可以这样打开/FAs:

  

  

  Build代码,可以在输出目录下发现对应的.ASM文件。本文将逐句分析汇编代码和C++的对应关系。

  首先是WinMain:

  _TEXTSEGMENT

  _wmain PROC

  push ebp 保存旧的ebp

  mov ebp, esp ebp保存当前栈的位置

  push -1 建立SEH(Structured Exception Handler)链

  -1表示表头,没有Prev

  push __ehhandler$_wmain SEH异常处理程序的地址

  mov eax, DWORD PTR fs:0 fs:0指向TEB的内容,头4个字节是当前SEH链的地址

  push eax 保存起来

  sub esp, d8H 分配d8H字节的空间

  push ebx

  push esi

  push edi

  lea edi, DWORD PTR [ebp-e4H] 确定局部变量的起始地址。e4H = d8H + 4 * 3,跳过之前建立SEH链所用的3个Push指令所占用的栈的空间,以及sub esp, d8h为局部变量分配的d8H字节空间

  mov ecx, 36H 36H*4H=d8H,也就是用36H个ccccccccH填满刚才分配的d8H字节空间

  mov eax, ccccccccH

  rep stosd

  mov eax, DWORD PTR ___security_cookie

  xor eax, ebp

  push eax ebp ^ __security_cookie压栈保存

  lea eax, DWORD PTR [ebp-0cH] ebp-0cH是之前main的起始代码中在堆栈中建立的SEH结构的首地址

  mov DWORD PTR fs:0, eax 设置到TEB中作为当前Active的SEH链表末尾

  到此为止栈的内容是这样的:

  低地址

  Security cookie after XOR

  Edi

  Esi

  Ebx

  Local stack: d8H

  Old fs:0

  __ehhandler$_wmain

  ffffffffH

  Old ebp

  高地址

  main接着后面调用my_class的构造函数

  lea ecx, DWORD PTR [ebp-14H]

  call ??0my_class@@QAE@XZ 调用my_class::my_class, ??my_class@@QAE@XZ是经过Name Mangling后的名字

  mov DWORD PTR [ebp-4], 0 进入__try块,在Main中有一个隐式的__try/__except块

  接着调用my_class::method:

  push 10 参数入栈

  lea ecx, DWORD PTR [ebp-14H] 遵循thiscall调用协定,ecx存放的是this指针

  call ?method@my_class@@QAEXH@Z 调用子程序my_class:method(10)

  之后是析构:

  mov DWORD PTR [ebp-e0H], 0 用来放置返回值

  mov DWORD PTR [ebp-4], -1 标记TRY的正常结束

  lea ecx, DWORD PTR [ebp-14H] a_class的地址作为this存入ECX

  call ??1my_class@@QAE@XZ my_class::~my_class

  mov eax, DWORD PTR [ebp-e0H] 返回值按照约定放入eax中

  Main函数退出代码如下:

  push edx

  mov ecx, ebp

  push eax

  lea edx, DWORD PTR $LN7@wmain

  call @_RTC_CheckStackVars@8 检查栈

  pop eax

  pop edx

  mov ecx, DWORD PTR [ebp-0cH] 取出之前保存的旧的fs:0,并恢复

  mov DWORD PTR fs:0, ecx

  pop ecx

  pop edi

  pop esi

  pop ebx

  add esp, e4H 退掉分配的d8H + 建立SEH链所需的0cH字节

  cmp ebp, esp

  call __RTC_CheckEsp 检查esp值,这个时候esp应该和ebp匹配,否则说明出现了栈不平衡的情况,这种情况下调用子程序报错

  mov esp, ebp 恢复ebp到esp

  pop ebp 恢复原来的ebp值

  ret 0

  _wmain ENDP

  专门用于SEH的子程序。__unwindfunclet$_wmain$0当异常发生的时候被调,负责进行栈展开,主要是调用析构函数。__ehhandler$_wmain则是在exception被抛出的时候调用。

  Text$x SEGMENT

  __unwindfunclet$_wmain$0: 当SEH发生的时候会调用该函数,析购a_class

  lea ecx, DWORD PTR [ebp-14H] ecx = [ebp – 14H],也就是a_class的地址

  jmp ??1my_class@@QAE@XZ 调用my_class::~my_class

  __ehhandler$_wmain:

  mov edx, DWORD PTR [esp+8] esp = 当前的fs:0, [esp + 8] = 之前的SEH结构,也就是main中建立的

  lea eax, DWORD PTR [edx+0cH] edx + 0Ch = 当前的ebp,也就是main的ebp,此时不能直接使用ebp因为可能会从任意函数调过来,此时ebp是该函数的ebp,而不是main的ebp

  mov ecx, DWORD PTR [edx-e0H] 之前存下去的__security_cookie ^ ebp

  xor ecx, eax 再次和ebp相异或

  call @__security_check_cookie@4 此时ecx应该等于__security_cookie,否则说明栈的内容被恶意改动(或者编程错误)

  mov eax, OFFSET __ehfuncinfo$_wmain

  jmp ___CxxFrameHandler3

  text$x ENDS

  My_class::my_class构造函数如下。构造函数本质上就是一个全局函数,名字是经过打乱的(Name Mangling),这样可以和同一Class和其他Class的同名方法区别开来。不同编译器有不同规则,因此不必过于深究。

  _TEXTSEGMENT

  0my_class@@QAE@XZ PROC

  push ebp 保存旧的ebp

  mov ebp, esp ebp保存当前栈的位置

  sub esp, ccH 给栈分配ccH个字节

  push ebx 保存常用寄存器

  push esi

  push edi

  push ecx

  lea edi, DWORD PTR [ebp-ccH] 从分配的位置开始

  mov ecx, 33H 写33H个ccccccccH

  mov eax, ccccccccH 也就是33H*4H=ccH,正好是分配的大小

  rep stosd 从而把整个栈上当前分配的空间用ccH填满

  pop ecx

  mov DWORD PTR [ebp-8], ecx 按照约定,一般用ECX保存this指针

  把this存入到ebp-8,并不是很必要,因为这是Debug版本

  

  

  10 : {

  11 : m_member = 1;

  

  mov eax, DWORD PTR [ebp-8] eax中存放this

  mov DWORD PTR [eax], 1 this的头四个byte是m_member的内容

  

  12 : }

  

  mov eax, DWORD PTR [ebp-8] 多余的一句话,可以优化掉

  pop edi

  pop esi

  pop ebx

  mov esp, ebp 恢复esp,因此就算是中间栈运算出错,最后也不会导致灾难性的结果,只要ebp还是正确的

  pop ebp

  ret 0

  0my_class@@QAE@XZ ENDP

  My_class::method的实现如下:

  _TEXTSEGMENT

  ?method@my_class@@QAEXH@Z PROC my_class::method

  

  15 : {

  

  push ebp

  mov ebp, esp

  sub esp, ccH

  push ebx

  push esi

  push edi

  push ecx

  lea edi, DWORD PTR [ebp-ccH]

  mov ecx, 33H

  mov eax, ccccccccH

  rep stosd

  pop ecx

  mov DWORD PTR [ebp-8], ecx

  

  16 : m_member = n;

  

  mov eax, DWORD PTR [ebp-8] eax中存放this

  mov ecx, DWORD PTR [ebp+8] ebp -> ebp

  ebp + 4 -> IP

  ebp + 8 -> n

  把n存入ecx中

  mov DWORD PTR [eax], ecx this头四个字节是m_member, 因此这句话就是m_member = n

  

  17 : }

  

  pop edi

  pop esi

  pop ebx

  mov esp, ebp

  pop ebp

  ret 4 等价于

  ret 恢复EIP,返回调用地址

  add esp, 4 -> 把n从栈上Pop掉

  ?method@my_class@@QAEXH@Z ENDP

  最后的析构函数,和前面的代码并无区别。

  _TEXT SEGMENT

  1my_class@@QAE@XZ PROC my_class::~my_class

  

  20 : {

  

  push ebp

  mov ebp, esp

  sub esp, 204

  push ebx

  push esi

  push edi

  push ecx

  lea edi, DWORD PTR [ebp-204]

  mov ecx, 33H

  mov eax, ccccccccH

  rep stosd

  pop ecx

  mov DWORD PTR _this$[ebp], ecx

  

  21 : m_member = 0;

  

  mov eax, DWORD PTR [ebp-8]

  mov DWORD PTR [eax], 0

  

  22 : }

  

  pop edi

  pop esi

  pop ebx

  mov esp, ebp

  pop ebp

  ret 0

  1my_class@@QAE@XZ ENDP my_class::~my_class

  _TEXT ENDS

  查看本文来源

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章