2018-05-03
《C++反汇编和逆向技术》第五章 流程控制语句的识别读书笔记(写了半天没保存,全没了,慢慢补充)
1.if语句块
if语句块的功能是先对运算条件进行比较,然后根据比较结果选择对应的语句块来执行。
cmp dword ptr[ebp+8],0 jne main+2Fh(0040103f) C语言中if语句argc == 0,对应汇编if是jne(不等于0则跳转)
总结: ;先执行各类影响标志位的指令 ;其后是各种条件跳转指令 jxx xxxx
汇编语言的if语句跟C语言中if语句是相反的,因为按照C语言中if语句的规定,满足if判定的表达式才能执行if的语句块,而汇编语言的条件跳转却是满足某条件则跳转,绕过代码块。
既然这样,为什么C语言编译器不将else语句块提到前面呢?
因为C语言是根据代码行的位置来决定编译后的二进制代码的地址高低的,也就是说,低行数对应低地址,高行数对应高地址,所以有时会使用标号相减得到代码段的长度。鉴于此,C语言的编译器不能随意改变代码行在内存中的顺序。
【CMP指令 对两个操作数进行一次减法操作。涉及到的标志位:
CF: 是否有进位或借位操作
ZF: 0标志位,就是结果是否为0
OF: 溢出标志位,计算机结果是否溢出了,只有有符号数才会溢出
SF: 符号位,0为正,1为负。】
【有符号数与无符号数比较后,使用的跳转指令不同。这是由于无符号数只考虑CF,ZF。无符号数还要考虑SF,OF。
如果比较指令是ja/jae/jb/jbe,是无符号数的比较。
如果比较指令是jg/jge/jl/jle.是有符号数的比较。】
2.if...else语句块
cmp dword ptr [ebp+8],0 jne IfElse+2Dh ;跳转到else语句块 ... ;if语句块 jmp IfElse+3Ah ;跳转过else块 ... ;else语句块 总结: ;先执行影响标志位的相关指令 jxx ELSE_BEGIN IF_BEGIN: ...... ;if语句块内的执行代码 IF_END: jmp ELSE_END ELSE_BEGIN: ...... ;else语句块内的执行代码 ELSE_END:
3.if...else_if...else语句块
cmp dword ptr [ebp+8],0 jle IfElseIf+2Dh ;跳转到下一个else if语句块 ... ;if语句块 jmp IfElse+4Fh ;跳到end cmp dword ptr [ebp+8],0 jne IfElseIf+42h ;跳转到else语句块 ... ;elseif语句块 jmp IfElse+4Fh ;跳到end ... ;else语句块 总结: ;先执行影响标志位的相关指令 jxx ELSE_IF_BEGIN IF_BEGIN: ...... ;if语句块内的执行代码 IF_END: jmp END ELSE_IF_BEGIN: ;可影响标志位的指令 jxx ELSE_BEGIN ...... ;else if语句块内的执行代码 ELSE_IF_END: jmp END ELSE_BEGIN: ...... ;else语句块内的执行代码 END:
4. switch的真相
switch是比较常用的多分支结构,使用起来非常方便,并且效率上也高于if...else if多分支结构。
case语句不超过3条的switch多分支结构:
cmp dword ptr [ebp-8],1 je SwitchIf+4Ah ;跳转到case1代码块 cmp dword ptr [ebp-8],3 je SwitchIf+59h ;跳转到case3代码块 cmp dword ptr [ebp-8],100 je SwitchIf+68h ;跳转到case100代码块 jmp end ... ;case1代码块 jmp end ... ;case3代码块 jmp end ... ;case100代码块 end
注意:switch的条件跳转指令跟C语言语句本身是一致的
上述代码片段显示switch语句使用了3次条件跳转指令,如果成功则跳转到相应的执行代码块中。这种结构与if...else if多分支结构很相似,不过也有明显的区别:
通过对比可以发现,if...else if会在每个条件跳转后紧跟语句块;而switch结构则将所有的条件跳转放置在一起,并且所有case语句块也都是连在一起放置的。这样做是为了实现C语法的要求,当case中没有break语句是,顺序执行后续case语句。[两个跳转地址之间就是一个case语句块]
在switch分支数小于4时,VC++6.0采用模拟if...else if的方法。这样做并没发挥出switch的优势,在效率上也没有if...else if强。
分支数大于3,并且case的判定值存在明显的线性组合关系时:
代码中为case语句制作了一份case地址表。这个数组保存了每个case语句块的首地址,并且数组的下标从0开始。而case中最小值是1,所有需要对edx减1调整,使其与地址表下标对应寻址。当然,如果case最小值是0,则不需要调整。
在进入switch后会先进行一次比较,检查输入的数值是否大于case值的最大值,如果大于则跳转到default。看00401128地址处case采用比例因子寻址。
case块还是连续放置的。实际没有case4块,为了达到线性有序,编译器将以switch结束地址或default语句块的首地址填充。
如果每两个case值之间的差值小于等于6,并且case语句数大于等于4,编译器就会形成这种线性结构。而且在便携式无需有序排列case值,编译器会在编译过程中对case线性地址表进行排序。如case顺序3,2,1,4,5,在地址表中也是,1,2,3,4,5。
5. 难以构成跳转表的switch
对于非线性的switch结构,可以采用制作索引表的方法来优化。索引表需要两张表:一张为case语句块地址表,另一张为case语句块索引表。
地址表中每一项保存一个case语句块的首地址,有几个case语句块就有几项。deault语句块也在其中,这个结束地址只会保存一份,不会像有序线性地址表那样,重复填充switch结束地址。
索引表中保存地址表的编号,它的大小等于最大case值和最小case值的差。当差值大于255时,这种优化方式也会很浪费空间,可通过树方式优化,下文再讲。
比如把上面case7改成case15,如果还用有序线性方式优化,则需要把7-15都填充成switch结束地址。很浪费空间。所以采用二次查表法:
索引表中保存了地址表的下标值。索引表中最多可以存储256项,每项的大小为1个字节,这决定了case值不能超过1字节的最大表示范围(0-255)。
跟线性地址表相比,制作索引表更节省空间,但是由于查两次表,因此效率会有所下降。【虽然索引表和线性地址表都是连续空间,但索引表单位时1字节,线性地址表单位是4字节,所以还是节省空间的】
占用总字节数 = ((MAX - MIN) * 1字节)+ (SUM * 4字节)
6. switch降低判定树的高度
当最大case值与最小case值之差大于255,超出索引1字节的表达范围时,上述优化方案同样会造成空间的浪费。此时采用另一种优化方案——判定树:将每个case值作为一个节点,从这些节点中找到一个中间值作为根节点,以此形成一棵平衡二叉树,以每个节点为判定值,大于和小于关系分别对应左子树和右子树,这样可以提高效率。
如果打开O1选项——体积优先,由于有序线性优化和索引表优化都需要消耗额外的空间,因此在体积优先的情况下,这两种优化方案是不被允许的。编译器尽量以二叉判定树的方式来降低程序占用的体积。
其对应汇编代码会二分查找,先cmp 10分边再比较两边。
从图中发现,这棵树的左右两侧并不平衡。进行树平衡的效率低于if...else。这时,编译器采取的策略是,当树中的叶子节点数小于等于3时,就会转换形成一个if...else结构。
如果向左子树插入一个叶子节点10000时,左子树叶子节点大于4。此时if else转换已经不适合,优先查看是否可以匹配有序线性优化、非线性索引表优化,如果可以就转换,如果不行,继续使用判定树。
在Release版下,使用IDA查看编译器是如何优化的,如下图:
根据流程走向可以看出,有一个根节点,左边多分支结构很像一个switch,而右边则是一个多次比较判断,跟if...else类似。
总结:为了降低树的高度,在树的优化过程中,检测树的左子树或右子树能否满足if else优化、有序线性优化、非线性索引优化,利用这三种优化来降低树高度。选择哪种优化也是有顺序的,谁的效率最高,又满足其匹配条件,就可以被优先使用。以上三种优化都无法匹配,就会选择使用判定树。
7. do/while/for的比较
do循环:
... ;do循环语句块内的执行代码 cmp edx, dword ptr [ebp -8] jle LoopDo+26h(0040b4e6) ;向上跳转到do循环体,且条件跳转指令比较和C语句是一致的 end 总结: DO_BEGIN: ...... ;循环语句块 ;影响标记位的指令 jxx DO_BEGIN ;向上跳转
与if语句区别:if语句的比较是相反的,并且跳转地址大于当前代码的地址,是一个向下跳转的过程;而do中跳转逻辑小于当前代码的地址,是一个向上跳转的过程,所以条件跳转的逻辑与源码中的逻辑相同,且条件跳转指令比较和C语句是一致的。
while循环:
while循环和do循环正好相反,在执行循环语句块之前那,必须要进行条件判断,根据比较结果再选择是否执行循环语句块。
总结: WHILE_BEGIN: ;影响标志位的指令 jxx WHILE_END ;条件成立跳转到循环语句块结尾处 ...... ;循环语句块 jmp WHILE_BEGIN ;向上跳转 WHILE_END:
注意:while比较与if语句一样,也是比较相反,向下跳转。while循环结构中使用了两次跳转指令完成循环,比do循环多一次跳转,因此效率会低一点。
需要注意的是,while循环结构很可能被有化成do循环结构,如下:
if (xxx) { do { //.... }while(xxx) }
for循环:
for循环是三种循环中最复杂的一种。
总结: mov mem/reg, xxx ;赋初值 jmp FOR_CMP ;跳转到循环条件判定部分 FOR_STEP: ;修改循环变量Step mov reg,Step add reg,xxxx ;修改循环变量的计算过程,在实际分析中,视算法不同而不同 mov Step,eax FOR_CMP: ;循环条件判定部分 mov ecx,dword ptr Step ;判定循环变量和循环终止条件StepEnd的关系,满足条件则退出for循环 cmp ecx,StepEnd jxx FOR_END ;条件成立则结束循环 ...... ;循环体 jmp FOR_STEP ;向上跳转,修改流程回到步长计算部分 FOR_END:
三种循环结构的比较:
在执行效率上,do循环结构是最高的。因为do循环在结构上非常精简,利用了程序执行时由低地址到高地址的特点,只使用了一个条件跳转指令就完成了循环。
for循环是执行速度最慢的,他需要三个跳转指令才能完成循环。
while和for循环经常会优化成do循环。