C语言学习知识与汇编语言学习知识对照分析.doc

《C语言学习知识与汇编语言学习知识对照分析.doc》由会员分享，可在线阅读，更多相关《C语言学习知识与汇编语言学习知识对照分析.doc（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-*游戏通常会包含各种各样的功能，如战斗系统、UI渲染、经济系统、生产系统等，每个系统又包含各式各样子功能，如伤害判定、施法、使用道具、角色移动、玩家之间交易等等。这些游戏功能在代码实现中往往少不了条件判断（如伤害判定）、循环（遍历物品列表，播放游戏动画）等。 在逆向过程中如果可以从汇编语言识别出对应的语法结构，在分析过程中将汇编代码转换为C语言语法结构，可以帮助对程序执行流程的理解。下面分别介绍最常见的逻辑语法结构：a)if.elseb)switch.casec)for、while注：文中使用的反汇编工具为IDA一、if.else汇编代码：if.else结构比较固定，通常包含cmp指令、jc

2、c指令以及满足条件后执行的指令块。if.else结构可以串联，串联后的if.else有明显的代码块边界，逆向工具通常可以将代码块标识出来（图中虚线）。二、switch.case1.一个简单switch.case汇编代码：上图显示了switch.case基本的结构：a)跳转表达式；b)分支代码；c)跳转表a)跳转表达式其中loc_401235代码块对应switch.case中default分支。当nGameEvent4时，跳转到loc_401235代码块，即default分支。当nGameEvent=4时，根据跳转表达式进行跳转：jmpds:off_40123CnGameEvent*4其中off

3、_40123C为跳转表地址，跳转表中每一项代表一个32位地址（4个字节），当nGameEvent为0按第一项地址跳转，当nGameEvent为1按第二项地址跳转，依次类推。b)分支代码各个分支的处理逻辑都在这里，示例代码中仅仅简单的调用对应函数。（PS：这里用jmp而不用call是编译器优化的结果）c)跳转表跳转表实际是一个地址数组，存放了每个跳转分支的地址（32位绝对地址），当nGameEvent为0时，跳转表达式读取数组中第一项数据（0x0040121C）,即.text:0040121CE98FFFFF+jmp?DoLoginYAXXZ调用DoLogin函数。（PS:实际运行时，由于随机化

4、基址，从调试器看到的跳转表内容可能与静态分析时不同，这是重定位引起的，关于重定位的原理可以参考相关文档，这里不再详述）2.不连续的switch.case上面的示例中case的值是连续的，因此跳转表比较规则。在实际使用中可能会遇到不规则的case值，如下图：汇编代码：上面的代码有两个特点：i.最小case值非0上图中最小case值为3，为了不浪费跳转表空间，编译器会将索引值减去3保证最小的case值对应跳转表中的第一项。ii.case值不连续编译器会在跳转表间隔中插入default跳转，保证逻辑正确。(以空间换取时间)3.双重跳转表汇编代码：相对于前一个示例，此处case值间隔更大。如果按照之前

5、的方法，跳转表的大小需要（110-30+1）*4=324字节，占用内存空间大。编译器为了节省空间，使用了双重跳转：跳转表、间接跳转表。其中跳转表与之前介绍的跳转表一致，而间接跳转表保存的不是分支地址，而是索引值，指向跳转表中的索引。跳转表：间接跳转表：在进入switch.case时，先算根据间接跳转表获得索引号，再根据索引号查找跳转表，获取实际分支地址。使用双重跳转表后，实际占用空间：5*4+（11030+1）=101字节，大大减少空间占用。4.swtich.case退化当case值间隔过大，使用跳转表、双重跳转表消耗的空间太大，编译器会将switch.case退化为if.else，如下图：汇

6、编代码：这里没有跳转表结构，只剩下cmp/jcc指令，可见编译器已经将swtich.case转换为等价的if.else。但在转换过程中，编译还是做了力所能及的优化：通过二叉查找法加快跳转分支的查找。5.嵌套switch.case汇编代码：可以看出嵌套的switch.case结构在汇编代码上是相对独立的，外层和内层switch结构有各自的跳转表。外层跳转表：内存跳转表（双重跳转表）：根据跳转表中的地址项，也可以清楚的区分外层和内层的跳转分支。三、循环语句a)for循环汇编代码：其中nopdwordptreax+00h为指令对齐，没有实际意义。循环的汇编实现为：b)while循环汇编代码：其中nopdwordptreax+eax+00h为指令对齐，没有实际意义。循环的汇编实现为：从上面可以看出，for和while结构的汇编实现几乎一摸一样，仅仅是使用的寄存器有些区别。实际逆向过程中将循环映射为for或者while结构都是可以的。同时还可以看出，循环有个明显的特征：往回跳转（向地址小的方向跳转），大部分情况下遇到往回跳转的指令就是循环，极少数如编译器代码结构优化生成的往回跳转不是循环除外。四、总结语法结构对应的汇编代码与编译器有很大关系，同一份源代码不同编译器生成的汇编代码结构不一样；即使是同一个编译器，不同的编译选项生成的汇编代码结构也不尽相同。需要在逆向过程中慢慢熟悉编译器的特性。