2. 程式人生 > >PC逆向之程式碼還原技術,第三講彙編中加法的程式碼還原

PC逆向之程式碼還原技術,第三講彙編中加法的程式碼還原

阿新 發佈:2018-11-13

目錄

PC逆向之程式碼還原技術,第三講彙編中加法的程式碼還原

一丶彙編簡介

在講解加法的程式碼還原之前.我們首先要知道. 加法在彙編中對應的指令是什麼.
Add 彙編指令. Add x,y 將x的值 加上y 並且重新賦值給x

二丶高階程式碼對應彙編觀看.

觀看如下程式碼

int main(int argc, char* argv[])
{

    1 + 2;
    int nValue = 10 + 2;    //常量 + 常量
    int nVar = nValue + 10; //變數 + 常量
    int nVar3 = nValue + nVar; //變數 + 變數
    return 0;
}

有四種方式
第一種 直接 空語句 1 + 2 ;
第二種 常量 + 常量
第三種 變數 + 常量
第四種 變數 + 變數

1.程式碼還原解析:

程式碼還原解析需要了解的知識:

reg: 代表任意通用暫存器
imm: 立即數,可以看做常量
? : 代表任意數值.可以 [ebp -?]可以確定那個變數,變數是在棧中存放的.

  • 第一種方式
    此語句並不會產生作用.所以不會產生對應的彙編程式碼.

  • 第二種方式
    常量 + 常量 會在編譯的時候直接進行優化. 如上面程式碼 10 + 2 產生的對應彙編程式碼為
mov [ebp - ?],0xC
  • 第三種方式:

第三種方式是變數+ 常量. 在彙編中.變數 + 常量並不能直接操作.需要交給暫存器進行中轉

所以會產生如下表達式

mov reg,[ebp - ?]
add reg,imm
mov [ebp - ?],reg

上面程式碼對應:

.text:0040126F                 mov     eax, [ebp+ - 4]
.text:00401272                 add     eax, 0Ah
.text:00401275                 mov     [ebp - 4], eax
  • 第四種方式
    第四種方式 變數+變數

變數 + 變數 不用想,肯定是交給暫存器中轉.
產生程式碼定式:

mov reg,[ebp - ?]
add reg,[ebp - ?]
mov [ebp - ?],reg

上面程式碼產生的彙編程式碼.IDA中檢視.

.text:00401278                 mov     ecx, [ebp+var_4]
.text:0040127B                 add     ecx, [ebp+var_8]
.text:0040127E                 mov     [ebp+var_C], ecx

三丶根據上圖完整彙編程式碼進行還原總結

text:00401250 _main_0         proc near               ; CODE XREF: _main↑j
.text:00401250
.text:00401250 var_4C          = byte ptr -4Ch
.text:00401250 var_C           = dword ptr -0Ch
.text:00401250 var_8           = dword ptr -8
.text:00401250 var_4           = dword ptr -4

.text:00401268                 mov     [ebp+var_4], 0Ch  常量賦值給變數

.text:0040126F                 mov     eax, [ebp+var_4]  三句程式碼可以看成一句
.text:00401272                 add     eax, 0Ah          變數 + 常量 
.text:00401275                 mov     [ebp+var_8], eax

.text:00401278                 mov     ecx, [ebp+var_4]  三句程式碼可以看成一句
.text:0040127B                 add     ecx, [ebp+var_8]  變數 + 變數 結果給變數
.text:0040127E                 mov     [ebp+var_C], ecx
.text:00401289 _main_0         endp
.text:00401289

總結

根據上面加法的程式碼以及彙編對應的程式碼.我們可以產生程式碼定式

常量 + 常量 常量直接進行優化.不會產生彙編程式碼.如果賦值給變數則產生彙編程式碼

mov [ebp - ?],imm

常量 + 變數 賦值給變數 會產生彙編程式碼.此時我們心中要知道.如果操作變數相加.則肯定需要暫存器
中轉.所以會產生彙編程式碼

mov reg,[ebp - ?]
add reg,imm
mov [ebp - ?] reg

變數 + 變數 賦值給變數 操作了變數.那麼心中自然知道.會操作暫存器. 而彙編允許暫存器+棧中的值
所以可以產生程式碼定式

mov reg,[ebp - 4] 變數1
add reg,[ebp - 8] 變數2
mov [ebp - c],reg 變數3
三個程式碼可以看成 變數 + 變數 賦值給了變數

注意:上面為Debug版本下產生的程式碼定式. 在Releas下會進行優化.
在Releas下我們上面的程式碼會直接優化,沒有產生任何彙編程式碼.
原因是: 常量傳播 窺孔優化 常量摺疊. 因為上面程式碼我們並沒有用. 無意義的程式碼.所以不斷進行優化就會優化沒有.
可以參考本人編寫的詳細部落格: 部落格連結

相關推薦

PC逆向程式碼還原技術,三講彙編加法程式碼還原

目錄 PC逆向之程式碼還原技術,第三講彙編中加法的程式碼還原 一丶彙編簡介 二丶高階程式碼對應彙編觀看. 1.程式碼還原解析: 總結 PC逆向之程式碼還原技術,第三講彙編中加法的程式碼還原 一丶彙編簡介 在講解加法的

PC逆向程式碼還原技術,四講彙編減法的程式碼還原

目錄 PC逆向之程式碼還原技術,第四講彙編中減法的程式碼還原 一丶彙編簡介 二丶高階程式碼對應彙編觀看. 1.程式碼還原解析: 三丶根據高階程式碼IDA反彙編的完整程式碼 四丶知識總結 PC逆向之程式碼還原技術,第四

PC逆向代碼還原技術,六講匯編除法代碼還原以及原理第二講,被除數是正數 除數非2的冪

順序 argc 有效 text 直接 目錄 數學 分享 bubuko 目錄 一丶簡介 二丶代碼還原講解 1.被除數無符號 除數非2的冪 2.被除數無符號 除數為特例7 三丶代碼還原總結 一丶簡介 上一篇博客說的除2的冪. 如果被除數是有符號的,那麽會進行調整,並使用位

PC逆向程式碼還原技術,第一講基本資料型別在記憶體的表現形式.浮點,指標定址公式

目錄 程式碼還原技術 一丶簡介程式碼還原 例子一:我們很多人都學習過彙編.但是彙編的核心知識就是我能看的懂.有人拿彙編去做外掛.比如我去追偏移.看著視訊去做.然後換一個遊戲依然這樣.但是終有一天,你可能發現沒意思了.因為這些知識都是死的.比如我們想看遊戲中,這段程式碼做了什麼事情.這個時候就需要將彙編轉為

PC逆向代碼還原技術,第一講基本數據類型在內存的表現形式.浮點,指針尋址公式

一次 char s 地址 們的 進行 發現 爆破 註冊碼 編碼轉換 目錄 代碼還原技術 一丶簡介代碼還原 二丶代碼還原中的數據類型表現形式 1.整數類型 2.無符號整數 3.有符號整數 4.浮點數數據類型 5.浮點編碼 4.Double類型解析. 三丶浮點匯編 1.浮點

程序通訊二 管道技術三篇 命名管道

                上一篇《程序通訊之二管道技術第二篇匿名管道》中講解了匿名管道,匿名管道有讀取端和寫入端,在建立匿名管道(CreatePipe)後就可以像讀寫檔案一樣的對管道中進行讀寫(ReadFile與WriteFile,注意讀寫順序)。在關閉匿名管道兩端後會由系統負責銷燬並回收資源。文章中還

轉: 【Java並發編程】十八:五篇volatile意外問題的正確分析解答(含代碼)

深入 規則 rup lis con method 執行 change .text 轉載請註明出處:http://blog.csdn.net/ns_code/article/details/17382679 在《Java並發編程學習筆記之五:volatile變量修

統計java程式碼行數和jar包*.class程式碼的行數

自己寫了一個簡單的小工具,統計一下指定專案路徑下java行數和指定路徑下jar包中.class 檔案的程式碼行數。 具體內容如下:1:統計指定目錄下所有的*.java 檔案的程式碼行數,檔案為JavaTotal.java(可單獨執行); import java.io.B

大臉貓講逆向ARM匯編PC寄存器詳解

nbsp 限制 得到 目標 進行 查找 i春秋 偏移量 .html i春秋作家:v4ever 近日,在研究一些開源native層hook方案的實現方式,並據此對ARM匯編層中容易出問題的一些地方做了整理,以便後來人能有從中有所收獲並應用於現實問題中。當然,文中許多介紹參

五課-三講05_03_bash腳本編程二 條件判斷

表達 重名 關鍵字 系統 amp 文件是否存在 取反 bash腳本編程 bash 第五課-第三講05_03_bash腳本編程之二 條件判斷 變量名稱:只能保含字母數字下劃線,且不能數字開頭。不能和系統中已存在的環境變量重名。見名知意bash中如何實現條件判斷?條件測試類型

六課-三講06_03_bash腳本編程五 字符串測試及for循環

art start 是否 環境變量 100% 展開 字符 如果 lar 第六課-第三講06_03_bash腳本編程之五 字符串測試及for循環 1.字符測試1)==(=賦值用的):等號兩側引用變量的結果所以一個等號也可以自動判斷出不是賦值,相等為真,不等為假。一定註意等號兩

學習筆記-小甲魚Python3學習三講:小插曲變量和字符串

days 舉例 string 開頭 方便 hour 轉義 情況 為什麽 測試題: 以下哪個變量的命名不正確?為什麽? (A) MM_520 (B) MM520 (C) 520_MM (D) _520_MM C,變量名可以用字母、數字、下劃線命名,但是不能以數字

程式碼整潔道 讀書筆記 - 3章 函式

短小 函式的第一規則是要短小。第二條規則是還要更短小。 函式20行封頂最佳。 if語句、else語句、while語句等,其中的程式碼塊應該只有一行,而且,塊內呼叫的函式擁有較具說明性的名稱,還能起到文件的作用。 只做一件事 函式應該做一件事。做好這件事。只做這一件事。 每個函式一個抽象層級 自頂

Android逆向旅---靜態分析技術來破解Apk

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

程式碼整潔道 讀書筆記 - 5章 格式

垂直格式 1、推薦單檔案200行程式碼左右,最長不超過500行。 2、每一組思路完整的程式碼,中間用空白行區隔。 3、緊密相關的程式碼應該互相靠近。 4、本地變數和實體變數應該在類的頂部宣告。 5、概念相關的程式碼應該放在一起,相關性越強,距離越短。 6、自上向下展示函式呼叫依賴順序。被呼叫的函式

程式碼整潔道 讀書筆記 - 6章 物件和資料結構

資料結構、物件的反對稱性 物件(物件式程式碼)曝露行為,隱藏資料。便於新增新物件型別而無需修改既有行為,同時也難以在既有物件中新增新行為。 資料結構(過程式程式碼)曝露資料,沒有明顯的行為。便於向既有資料結構新增新行為,同時也難以向既有函式新增新資料結構。 在任何系統中,我們有時會希望能夠靈活地新增新資

程式碼整潔道 讀書筆記 - 8章 邊界

1、使用第三方程式碼,如果使用邊界介面,就把它保留在類或近親類中。避免從公共API中返回邊界介面,或將邊界介面作為引數傳遞給公共API。 2、瀏覽和學習邊界,不要在生產程式碼中試驗新東西,而是編寫測試來遍覽和理解第三方程式碼。Jim Newkirk把這個叫做學習性測試。 3、學習性測試的好處不只是免費,能

程式碼整潔道 讀書筆記 - 10章 類

類應該短小 1、單一權責原則(SRP)     系統應該由許多短小的類而不是少量巨大的類組成。     每個小類封裝一個權責,只有一個修改的原因,並與少數其他類一起協同達成期望的系統行為。 2、內聚     類應該只有少

程式碼大全》錯誤處理技術(Error-Handling Techniques)

1、返回中立值        處理錯誤資料的最佳做法就是繼續執行操作並簡單地返回一個沒有危害的數值。 2、換用一下正確的資料        在處理資料流的時候,有時只需返回下一個正確的資料即可。 3、返回

三講模擬練習題

1.關於“儲存程式”,下列說法不正確的是_____。 A.將“指令”和“資料”以同等地位儲存在儲存器中,以便於機器自動讀取自動處理 B.之所以將“程式”和“資料”事先儲存於儲存器中,是因為輸入的速度滿足不了機器處理的速度,為使機器連續自動處理,所以要“儲存程式” C.依據“儲存程式”原理,機