0


Windows逆向安全(一)之基础知识(二)

反汇编分析C语言

空函数反汇编

在这里插入图片描述

#include"stdafx.h"//空函数        voidfunction(){}intmain(int argc,char* argv[]){//调用空函数function();return0;}

我们通过反汇编来分析这段空函数

函数外部

在这里插入图片描述

12:       function();
00401048   call        @ILT+5(function)(0040100a)13:       return0;
0040104D   xor         eax,eax
14:   }
0040104F   pop         edi
00401050   pop         esi
00401051   pop         ebx
00401052   add         esp,40h
00401055   cmp         ebp,esp
00401057   call        __chkesp (004010e0)
0040105C   mov         esp,ebp
0040105E   pop         ebp
0040105F   ret

函数内部

在这里插入图片描述

6:    void function(){
00401010   push        ebp
00401011   mov         ebp,esp
00401013   sub         esp,40h
00401016   push        ebx
00401017   push        esi
00401018   push        edi
00401019   lea         edi,[ebp-40h]
0040101C   mov         ecx,10h
00401021   mov         eax,0CCCCCCCCh
00401026   rep stos    dword ptr [edi]7:
8:    }
00401028   pop         edi
00401029   pop         esi
0040102A   pop         ebx
0040102B   mov         esp,ebp
0040102D   pop         ebp
0040102E   ret

分析函数

函数调用

00401048   call        @ILT+5(function)(0040100a)

先就是通过call来调用我们的function函数

函数内部

接着进到函数的内部

有了之前画堆栈图的经验,我们不难看出,尽管我们的函数是个空函数,但其汇编代码依然完成了以下流程:

提升堆栈
保护现场
初始化提升的堆栈
恢复现场
返回

提升堆栈

00401010   push        ebp
00401011   mov         ebp,esp
00401013   sub         esp,40h

保护现场

00401016   push        ebx
00401017   push        esi
00401018   push        edi

PS:前面的push ebp也是保护现场

初始化提升的堆栈

00401019   lea         edi,[ebp-40h]
0040101C   mov         ecx,10h
00401021   mov         eax,0CCCCCCCCh
00401026   rep stos    dword ptr [edi]

恢复现场

00401028   pop         edi
00401029   pop         esi
0040102A   pop         ebx
0040102B   mov         esp,ebp
0040102D   pop         ebp

PS:这里的mov esp,ebp就是降低堆栈,与前面的提升堆栈相对应,所以也属于恢复现场的一部分

返回

0040102E   ret

函数返回后

在这里插入图片描述
函数返回后不出意料地返回到了调用CALL地下一行语句,我们接着看

0040104D   xor         eax,eax

这里是将eax清零,注意到我们的语句为return 0 这里就是将eax作为返回值来传递

一般来说eax都是作为函数的返回值,但不绝对,有的函数返回值是存在内存里或其它情况,要具体情况具体分析

接着看下面的代码:

0040104F   pop         edi
00401050   pop         esi
00401051   pop         ebx

很明显,这里是在还原现场,别忘了我们的主程序main本身也是个函数,这是在还原调用main前保护的现场

接着往下走

00401052   add         esp,40h
00401055   cmp         ebp,esp
00401057   call        __chkesp (004010e0)

这里首先是将esp减少了40h,然后比较ebp和esp,最后再调用一个chkesp函数

从名称就不难看出chkesp = check esp ,检查esp,这个函数就是用来检查堆栈是否平衡的

继续

0040105C   mov         esp,ebp
0040105E   pop         ebp

依旧是恢复现场

最后就是返回

0040105F   ret

总结空函数分析

我们可以看到,即便一个空函数什么都没有做,但调用一个空函数所产生的汇编代码却不少

保护现场、恢复现场以及堆栈平衡的检查等等都没少,可谓麻雀虽小五脏俱全

简单加法函数反汇编

有了前面分析空函数的经验,我们再来分析分析一个简单的加法函数

在这里插入图片描述

#include"stdafx.h"intPlus(int x,int y){return x+y;}intmain(int argc,char* argv[]){//调用加法函数Plus(1,2);return0;}

函数外部

在这里插入图片描述

16:Plus(1,2);004010A8   push        2004010AA   push        1004010AC   call        @ILT+0(Plus)(00401005)004010B1   add         esp,817:return0;004010B4   xor         eax,eax
18:}004010B6   pop         edi
004010B7   pop         esi
004010B8   pop         ebx
004010B9   add         esp,40h
004010BC   cmp         ebp,esp
004010BE   call        __chkesp(004010e0)004010C3   mov         esp,ebp
004010C5   pop         ebp
004010C6   ret

函数内部

在这里插入图片描述

10:intPlus(int x,int y){00401060   push        ebp
00401061   mov         ebp,esp
00401063   sub         esp,40h
00401066   push        ebx
00401067   push        esi
00401068   push        edi
00401069   lea         edi,[ebp-40h]0040106C   mov         ecx,10h
00401071   mov         eax,0CCCCCCCCh
00401076   rep stos    dword ptr [edi]11:return x+y;00401078   mov         eax,dword ptr [ebp+8]0040107B   add         eax,dword ptr [ebp+0Ch]12:}0040107E   pop         edi
0040107F   pop         esi
00401080   pop         ebx
00401081   mov         esp,ebp
00401083   pop         ebp
00401084   ret

分析函数
函数调用

004010A8   push        2004010AA   push        1004010AC   call        @ILT+0(Plus)(00401005)

结合前面的空函数分析,我们可以明显发现这里的函数调用环节,多了两个push

就是将函数所需的参数压入堆栈,这里的参数为 2 和 1,注意压入的顺序是反着的(由调用协定决定,下篇笔记会详细说明)

函数内部
提升堆栈保护现场初始化

提升堆栈、保护现场、初始化部分和空函数如出一辙,这里就不再赘述

00401060   push        ebp
00401061   mov         ebp,esp
00401063   sub         esp,40h
00401066   push        ebx
00401067   push        esi
00401068   push        edi
00401069   lea         edi,[ebp-40h]0040106C   mov         ecx,10h
00401071   mov         eax,0CCCCCCCCh
00401076   rep stos    dword ptr [edi]

实际执行

00401078   mov         eax,dword ptr [ebp+8]0040107B   add         eax,dword ptr [ebp+0Ch]

这里的[ebp+8]就是我们前面压入的参数1,[ebp+c]就是前面压入的参数2

于是这两条语句其实就是

00401078   mov         eax,10040107B   add         eax,2

将1+2的结果保存到eax中(此时eax又作为函数返回值的载体)

恢复现场和返回
接下来的内容就和空函数一样了,恢复现场和返回,也不再赘述

0040107E   pop         edi
0040107F   pop         esi
00401080   pop         ebx
00401081   mov         esp,ebp
00401083   pop         ebp
00401084   ret

函数返回后

在这里插入图片描述

004010B1   add         esp,817:return0;004010B4   xor         eax,eax
18:}004010B6   pop         edi
004010B7   pop         esi
004010B8   pop         ebx
004010B9   add         esp,40h
004010BC   cmp         ebp,esp
004010BE   call        __chkesp(004010e0)004010C3   mov         esp,ebp
004010C5   pop         ebp
004010C6   ret

函数返回后我们会发现与先前的空函数相比多了这一行代码:

004010B1   add         esp,8

这里是对应我们前面压入的两个参数1和2,压入参数后esp减少了8,这里我们函数调用结束后,就不再需要之前压入的两个参数了,于是将esp恢复到压入参数前,这其实也算在恢复现场里,用来平衡堆栈

我们可以发现,这条语句是在我们call调用完毕返回后执行的平衡堆栈操作,所以这种操作也被称为堆栈外平衡

与之相对就是堆栈内平衡:即在call里面就把堆栈平衡好了

标签: windows 安全 汇编

本文转载自: https://blog.csdn.net/qq_64973687/article/details/129479423
版权归原作者 私ははいしゃ敗者です 所有, 如有侵权,请联系我们删除。

“Windows逆向安全(一)之基础知识(二)”的评论:

还没有评论