简单反汇编之if判断

最新推荐文章于 2024-01-20 12:42:56 发布

原创最新推荐文章于 2024-01-20 12:42:56 发布 · 2k 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#汇编 #编译器 #c #string #化工 #优化

汇编专栏收录该内容

11 篇文章

订阅专栏

本文通过分析VC环境下一个简单的if语句在Debug和Release模式下的反汇编代码，展示了编译器对代码的优化处理。在Debug模式下，反汇编代码与源代码结构相似，而在Release模式下，编译器优化使得代码变得难以阅读，但执行效果保持一致。通过对比学习，可以逐步掌握反汇编的技巧。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

什么都是从简单开始发展的，反汇编也不例外，最近学习了如何在VC中查看及反汇编代码，反汇编在新手看来都是很神秘的东西(也包括我)，感觉很牛，不过也倒是，反汇编犹如武侠中的"吸星大法"，这个比喻一点都不过分，会了"吸星大法"的人想要谁的功夫只要一伸手就可以得来，不过能练成"吸星大法"的牛人也不多，因为在练习的时候要坚受苦练......

那么在软件也不例外，什么九阴白骨爪,吸星大法,葵花宝典,等等，其中"吸星大法"最为邪恶。为了"吸星大法"还是一步一个招式,慢慢往下练。

先来看看最简单的if语句debug反汇编,代码如下：

void test(int a) { if(a>50) { printf("a大于50/n"); } else { printf("a小于50/n"); } } int main(int argc, char* argv[]) { test(10); return 0; }

F10启动单步调试，然后右键 Go To Disassembly转到汇编视图,如下：

15: int main(int argc, char* argv[]) 16: { 00401080 push ebp 00401081 mov ebp,esp 00401083 sub esp,40h 00401086 push ebx 00401087 push esi 00401088 push edi 00401089 lea edi,[ebp-40h] 0040108C mov ecx,10h 00401091 mov eax,0CCCCCCCCh 00401096 rep stos dword ptr [edi] //前面这部分汇编代码是debug版在方法前的初始化工作，我们主要看下面代码 17: test(10); 00401098 push 0Ah //传入参数10 0040109A call @ILT+5(test) (0040100a) //调用参数 0040109F add esp,4 //清理堆栈 18: return 0; 004010A2 xor eax,eax 19: } 004010A4 pop edi 004010A5 pop esi 004010A6 pop ebx 004010A7 add esp,40h 004010AA cmp ebp,esp 004010AC call __chkesp (00401150) 004010B1 mov esp,ebp 004010B3 pop ebp 004010B4 ret

test反汇编函数如下：

3: void test(int a) 4: { 00401020 push ebp 00401021 mov ebp,esp 00401023 sub esp,40h 00401026 push ebx 00401027 push esi 00401028 push edi 00401029 lea edi,[ebp-40h] 0040102C mov ecx,10h 00401031 mov eax,0CCCCCCCCh 00401036 rep stos dword ptr [edi] //以上代码跟前面的mian函数汇编代码相同，初始化工作 5: if(a>50) 00401038 cmp dword ptr [ebp+8],32h //这里在堆栈里面拿到函数的参数,和32h做对比 0040103C jle test+2Dh (0040104d) //如果小于跳转到0040104d 6: { 7: printf("a大于50/n"); 0040103E push offset string "a/xb4/xf3/xd3/xda50/n" //传入字符串参数 00401043 call printf (004010d0) //调用printf 打印 00401048 add esp,4 //清理堆栈 8: } 9: else 0040104B jmp test+3Ah (0040105a) //如果上面没有跳转，这里就会直接跳转0040105A表示条件走入if中 10: { 11: printf("a小于50/n"); 0040104D push offset string "a/xd0/xa1/xd3/xda50/n" (0042201c) 00401052 call printf (004010d0) 00401057 add esp,4 12: } 13: } 0040105A pop edi 0040105B pop esi 0040105C pop ebx 0040105D add esp,40h 00401060 cmp ebp,esp 00401062 call __chkesp (00401150) 00401067 mov esp,ebp 00401069 pop ebp 0040106A ret //下面这写都是清理工作，然后返回

当然我们在实际反汇编的过程中是反汇编Release也没有源代码可对比的，上面是源吗加debug反汇编，看起来跟我们写的程序结构式很相符的。但是到了Release版本，编译器对代码做了很多的优化以及处理，代码的结构跟原来作者所表达的思想是截然不同的，但是结果都是一样的。下面我们来看看最简单的if语句Release反汇编，用OD加载Release版本的程序，然后走入程序入口，反汇编代码如下：

//从main函数跳转到这里 00401000 837C24 04 32 CMP DWORD PTR SS:[ESP+4],32 //esp+4得到参数a然后和32h做对比 00401005 7E 0E JLE SHORT asm_if.00401015 //小于等于直接跳转到asm_if.00401015 00401007 68 3C704000 PUSH asm_if.0040703C //入栈字显示字符串 0040100C E8 2F000000 CALL asm_if.00401040 //调用打印call 00401011 83C4 04 ADD ESP,4 //清理堆栈 00401014 C3 RETN //返回 00401015 68 30704000 PUSH asm_if.00407030 //跳到这里说明小于50 0040101A E8 21000000 CALL asm_if.00401040 //调用打印 0040101F 59 POP ECX 00401020 C3 RETN 00401021 90 NOP 00401022 90 NOP 00401023 90 NOP 00401024 90 NOP 00401025 90 NOP 00401026 90 NOP 00401027 90 NOP 00401028 90 NOP 00401029 90 NOP 0040102A 90 NOP 0040102B 90 NOP 0040102C 90 NOP 0040102D 90 NOP 0040102E 90 NOP 0040102F 90 NOP 00401030 6A 0A PUSH 0A //程序入口点入栈10作为test函数的参数 00401032 E8 C9FFFFFF CALL asm_if.00401000 //调用test函数 00401037 83C4 04 ADD ESP,4 0040103A 33C0 XOR EAX,EAX 0040103C C3 RETN

通过以上分析可以看出Release版本和debug版本代码完全不一样，Release是通过编译器优化处理，也是发行版，比debug难读懂。而我们在实际过成中反汇编都是针对Release，所以还是得需要多多练习，从简单开始，多对比debug和Release版生成的汇编代码的不同，循循渐进,慢慢练成属于自己的"吸星大法"！