如果想要了解C++内部的实现原理,没有什么比观察C++代码对应的汇编代码来的更直接了。本系列主要从汇编角度研究C++代码和汇编的对应关系,揭示C++内部的机制和原理。在第一篇文章中我将从一个简单的C++程序着手快速解释一下C++反汇编代码的基本的结构和内容,相当于一个简单的Preview。而在后续的文章中,我将根据不同的Topic,详细解释C++代码对应的反汇编代码。
一个简单的C++程序示例如下:
class my_class
{
public :
my_class()
{
m_member = 1;
}
void method(int n)
{
m_member = n;
}
~my_class()
{
m_member = 0;
}
private :
int m_member;
};
int _tmain(int argc, _TCHAR* argv[])
{
my_class a_class;
a_class.method(10);
return 0;
}
|
可以直接Debug的时候看到Assembly代码,不过这样获得的代码注释比较少。比较理想的方法是利用VC编译器的一个选项/FAs来生成对应的汇编代码。/FAs还会在汇编代码中加入注释注明和C++代码的对应关系,十分有助于分析。在VS2005中可以这样打开/FAs:
<shapetype id="_x0000_t75" stroked="f" filled="f" path="m@4@5l@4@11@9@11@9@5xe" o:preferrelative="t" o:spt="75" coordsize="21600,21600"><stroke joinstyle="miter"></stroke><formulas><f eqn="if lineDrawn pixelLineWidth 0"></f><f eqn="sum @0 1 0"></f><f eqn="sum 0 0 @1"></f><f eqn="prod @2 1 2"></f><f eqn="prod @3 21600 pixelWidth"></f><f eqn="prod @3 21600 pixelHeight"></f><f eqn="sum @0 0 1"></f><f eqn="prod @6 1 2"></f><f eqn="prod @7 21600 pixelWidth"></f><f eqn="sum @8 21600 0"></f><f eqn="prod @7 21600 pixelHeight"></f><f eqn="sum @10 21600 0"></f></formulas><path o:connecttype="rect" gradientshapeok="t" o:extrusionok="f"></path><lock aspectratio="t" v:ext="edit"></lock></shapetype><shape id="Picture_x0020_1" style="VISIBILITY: visible; WIDTH: 489pt; HEIGHT: 126pt; mso-wrap-style: square" type="#_x0000_t75" o:spid="_x0000_i1025"><imagedata o:title="" src="file:///D:%5Ctmp%5Cmsohtmlclip1%5C01%5Cclip_image001.png"></imagedata></shape>
Build代码,可以在输出目录下发现对应的.ASM文件。本文将逐句分析汇编代码和C++的对应关系。
首先是WinMain:
_TEXT SEGMENT
_wmain PROC
push ebp ; 保存旧的ebp
mov ebp, esp ; ebp保存当前栈的位置
push -1 ; 建立SEH(Structured Exception Handler)链
; -1表示表头,没有Prev
push __ehhandler$_wmain ; SEH异常处理程序的地址
mov eax, DWORD PTR fs:0 ; fs:0指向TEB的内容,头4个字节是当前SEH链的地址
push eax ; 保存起来
sub esp, d8H ; 分配d8H字节的空间
push ebx
push esi
push edi
lea edi, DWORD PTR [ebp-e4H] ; 确定局部变量的起始地址。e4H = d8H + 4 * 3,跳过之前建立SEH链所用的3个Push指令所占用的栈的空间,以及sub esp, d8h为局部变量分配的d8H字节空间
mov ecx, 36H ; 36H*4H=d8H,也就是用36H个ccccccccH填满刚才分配的d8H字节空间
mov eax, ccccccccH
rep stosd
mov eax, DWORD PTR ___security_cookie
xor eax, ebp
push eax ; ebp ^ __security_cookie压栈保存
lea eax, DWORD PTR [ebp-0cH] ; ebp-0cH是之前main的起始代码中在堆栈中建立的SEH结构的首地址
mov DWORD PTR fs:0, eax ; 设置到TEB中作为当前Active的SEH链表末尾
|
到此为止栈的内容是这样的:
低地址
Security cookie after XOR
|
Edi
|
Esi
|
Ebx
|
Local stack: d8H
|
Old fs:0
|
__ehhandler$_wmain
|
ffffffffH
|
Old ebp
|
高地址
main接着后面调用my_class的构造函数
lea ecx, DWORD PTR [ebp-14H]
call ??0my_class@@QAE@XZ ; 调用my_class::my_class, ??my_class@@QAE@XZ是经过Name Mangling后的名字
mov DWORD PTR [ebp-4], 0 ; 进入__try块,在Main中有一个隐式的__try/__except块
|
接着调用my_class::method:
push 10 ; 参数入栈
lea ecx, DWORD PTR [ebp-14H] ; 遵循thiscall调用协定,ecx存放的是this指针
call ?method@my_class@@QAEXH@Z ; 调用子程序my_class:method(10)
|
之后是析构:
mov DWORD PTR [ebp-e0H], 0 ; 用来放置返回值
mov DWORD PTR [ebp-4], -1 ; 标记TRY的正常结束
lea ecx, DWORD PTR [ebp-14H] ; a_class的地址作为this存入ECX
call ??1my_class@@QAE@XZ ; my_class::~my_class
mov eax, DWORD PTR [ebp-e0H] ; 返回值按照约定放入eax中
|
Main函数退出代码如下:
push edx
mov ecx, ebp
push eax
lea edx, DWORD PTR $LN7@wmain
call @_RTC_CheckStackVars@8 ; 检查栈
pop eax
pop edx
mov ecx, DWORD PTR [ebp-0cH] ; 取出之前保存的旧的fs:0,并恢复
mov DWORD PTR fs:0, ecx
pop ecx
pop edi
pop esi
pop ebx
add esp, e4H ; 退掉分配的d8H + 建立SEH链所需的0cH字节
cmp ebp, esp
call __RTC_CheckEsp ; 检查esp值,这个时候esp应该和ebp匹配,否则说明出现了栈不平衡的情况,这种情况下调用子程序报错
mov esp, ebp ; 恢复ebp到esp
pop ebp ; 恢复原来的ebp值
ret 0
_wmain ENDP
|
专门用于SEH的子程序。__unwindfunclet$_wmain$0当异常发生的时候被调,负责进行栈展开,主要是调用析构函数。__ehhandler$_wmain则是在exception被抛出的时候调用。
Text$x SEGMENT
__unwindfunclet$_wmain$0: ; 当SEH发生的时候会调用该函数,析购a_class
lea ecx, DWORD PTR [ebp-14H] ; ecx = [ebp – 14H],也就是a_class的地址
jmp ??1my_class@@QAE@XZ ; 调用my_class::~my_class
__ehhandler$_wmain:
mov edx, DWORD PTR [esp+8] ; esp = 当前的fs:0, [esp + 8] = 之前的SEH结构,也就是main中建立的
lea eax, DWORD PTR [edx+0cH] ; edx + 0Ch = 当前的ebp,也就是main的ebp,此时不能直接使用ebp因为可能会从任意函数调过来,此时ebp是该函数的ebp,而不是main的ebp
mov ecx, DWORD PTR [edx-e0H] ; 之前存下去的__security_cookie ^ ebp
xor ecx, eax ; 再次和ebp相异或
call @__security_check_cookie@4 ; 此时ecx应该等于__security_cookie,否则说明栈的内容被恶意改动(或者编程错误)
mov eax, OFFSET __ehfuncinfo$_wmain
jmp ___CxxFrameHandler3
text$x ENDS
|
My_class::my_class构造函数如下。构造函数本质上就是一个全局函数,名字是经过打乱的(Name Mangling),这样可以和同一Class和其他Class的同名方法区别开来。不同编译器有不同规则,因此不必过于深究。
_TEXT SEGMENT
??0my_class@@QAE@XZ PROC
push ebp ; 保存旧的ebp
mov ebp, esp ; ebp保存当前栈的位置
sub esp, ccH ; 给栈分配ccH个字节
push ebx ; 保存常用寄存器
push esi
push edi
push ecx
lea edi, DWORD PTR [ebp-ccH] ; 从分配的位置开始
mov ecx, 33H ; 写33H个ccccccccH
mov eax, ccccccccH ; 也就是33H*4H=ccH,正好是分配的大小
rep stosd ; 从而把整个栈上当前分配的空间用ccH填满
pop ecx
mov DWORD PTR [ebp-8], ecx ; 按照约定,一般用ECX保存this指针
; 把this存入到ebp-8,并不是很必要,因为这是Debug版本
; 10 : {
; 11 : m_member = 1;
mov eax, DWORD PTR [ebp-8] ; eax中存放this
mov DWORD PTR [eax], 1 ; this的头四个byte是m_member的内容
; 12 : }
mov eax, DWORD PTR [ebp-8] ; 多余的一句话,可以优化掉
pop edi
pop esi
pop ebx
mov esp, ebp ; 恢复esp,因此就算是中间栈运算出错,最后也不会导致灾难性的结果,只要ebp还是正确的
pop ebp
ret 0
??0my_class@@QAE@XZ ENDP
|
My_class::method的实现如下:
_TEXT SEGMENT
?method@my_class@@QAEXH@Z PROC ; my_class::method
; 15 : {
push ebp
mov ebp, esp
sub esp, ccH
push ebx
push esi
push edi
push ecx
lea edi, DWORD PTR [ebp-ccH]
mov ecx, 33H
mov eax, ccccccccH
rep stosd
pop ecx
mov DWORD PTR [ebp-8], ecx
; 16 : m_member = n;
mov eax, DWORD PTR [ebp-8] ; eax中存放this
mov ecx, DWORD PTR [ebp+8] ; ebp -> ebp
; ebp + 4 -> IP
; ebp + 8 -> n
; 把n存入ecx中
mov DWORD PTR [eax], ecx ; this头四个字节是m_member, 因此这句话就是m_member = n
; 17 : }
pop edi
pop esi
pop ebx
mov esp, ebp
pop ebp
ret 4 ; 等价于
; ret 恢复EIP,返回调用地址
; add esp, 4 -> 把n从栈上Pop掉
?method@my_class@@QAEXH@Z ENDP
|
最后的析构函数,和前面的代码并无区别。
_TEXT SEGMENT
??1my_class@@QAE@XZ PROC ; my_class::~my_class
; 20 : {
push ebp
mov ebp, esp
sub esp, 204
push ebx
push esi
push edi
push ecx
lea edi, DWORD PTR [ebp-204]
mov ecx, 33H
mov eax, ccccccccH
rep stosd
pop ecx
mov DWORD PTR _this$[ebp], ecx
; 21 : m_member = 0;
mov eax, DWORD PTR [ebp-8]
mov DWORD PTR [eax], 0
; 22 : }
pop edi
pop esi
pop ebx
mov esp, ebp
pop ebp
ret 0
??1my_class@@QAE@XZ ENDP ; my_class::~my_class
_TEXT ENDS
|
作者: ATField
Blog: http://blog.csdn.net/atfield
转载请注明出处
分享到:
相关推荐
c++反汇编 c++反汇编的好教程c++反汇编 c++反汇编的好教程c++反汇编 c++反汇编的好教程
1.反汇编简介-----------第1课 A.反汇编理论 B.为何反汇编 C.如何反汇编 2.逆向与反汇编工具---------第2课 A.分类工具 B.摘要工具 C.深度检测工具 第二部分 IDA的基本用法 1.IDA入门-------第3课 A.启动IDA ...
c++反汇编中文教程,国外大牛非常经典之作,教你如何用IDA逆向C++。
本主题聚焦于一个由C++编写的高级反汇编引擎源码,其性能与商业级产品相媲美,对于学习和开发相关应用的人员来说极具价值。 首先,我们要理解C++这一编程语言。C++是C语言的增强版,它引入了面向对象编程的概念,如...
本套课程主要探讨如何读懂 C/C++ 语言程序的反汇编代码。所谓反汇编,简单的讲就是把可执行文件的二进制编码翻译成汇编语言代码,从汇编代码中读懂原高级语言的含义。这是一套基础课程,着重讲解反汇编代码与 C/C++ ...
Visual C++开源反汇编引擎 供会VC++及反汇编的同学研究!
在C++中实现一个反汇编器涉及到以下几个核心知识点: 1. **ARM指令集**: ARM架构有多种指令集,如ARMv4、ARMv5TE、ARMv7-A等,每个版本都有其特定的指令格式和操作。反汇编器需要理解和解析这些指令,包括数据处理...
首先,我们来看一个简单的C++类定义: ```cpp class Class1 { public: int mem_data1; int mem_data2; Class1() {} // 构造函数 void mem_func1() { cout << "this is mem_func1" ; this->mem_data1 = 10; } ...
PIC反汇编则涉及到Microchip的PIC系列,这是一个广受欢迎的微控制器家族,有着丰富的型号和功能。PIC的指令集和内存组织方式都有其独特性,反汇编工具需要能处理各种优化过的代码。 至于合泰反汇编,合泰半导体生产...
《51反汇编软件:揭秘单片机程序的秘密》 在计算机科学的世界里,"51反汇编软件"是一把重要的钥匙,它解锁了单片机程序的内部运作机制,为那些致力于开发和调试单片机系统的工程师们提供了宝贵的工具。反汇编,...
MIPS反汇编器是一种工具,它能够将MIPS架构机器语言代码转换成人类可读的汇编语言。...通过阅读源代码或者实际使用这个反汇编器,我们可以深入学习MIPS架构和汇编语言,同时提升我们的逆向工程技能。
这可能是一个完整的、独立的反汇编引擎,可以被开发者集成到他们的应用程序中,用于分析或调试二进制代码。 `readme.txt`文件通常包含关于软件的使用说明、版权信息、更新日志或其他重要提示。在这个上下文中,它...
通过这个资源,开发者不仅可以学习如何创建一个反汇编器,还可以了解STM8系列微控制器的工作原理以及如何在codeblocks环境下进行项目开发。如果你在使用过程中遇到任何问题,可以通过邮件1668124801@qq.com联系作者...
.NET框架提供了一个托管环境,其中的程序代码以中间语言(IL)的形式存在,由Just-In-Time(JIT)编译器在运行时转化为机器码执行。这种设计提高了跨平台兼容性,但也带来了一定的透明性,使得直接查看和理解程序的...
这很可能是“Microsoft Macro Assembler Disassembler for 32-bit”的缩写,它是微软提供的一个32位汇编和反汇编工具。MLDE32可能用于处理和分析32位x86架构的汇编代码。通过这个工具,用户可以查看二进制代码的汇编...
反汇编是将二进制机器码转换为汇编语言的过程,这在逆向工程中是一个基本步骤,有助于分析和理解程序行为,特别是当原始的源代码不可用时。 标签"pe反汇编源代码"强调了这个项目的核心特性,即它不仅提供了反汇编的...
3. **FileMaker.exe**:这个名字看起来并不像是一个反汇编或反编译工具,而更像是文件管理或者文档生成工具。在MSP430开发中,它可能用于创建、管理和组织项目文件,如源代码、头文件、配置文件等。在大型项目中,...
《C++与反汇编教程》是针对编程者深入理解程序执行机制的重要参考资料,由知名讲师M了个J李明杰于2019年编撰。教程以C++这一广泛使用的高级编程语言为切入点,旨在帮助读者理解计算机如何执行高级语言代码,并揭示...
而汇编语言则更接近底层,它是以机器指令集为基础的语言,每个语句几乎直接对应一个CPU的指令,对于需要极致性能或直接控制硬件的操作来说,汇编语言不可或缺。 在C++中,我们可以通过使用预处理器和extern "C"来...