《coredump问题原理探究》Linux x86版4.3节函数的逆向之条件结构

血狼debugeeker

发布于 2018-09-20 14:25:58

3790

发布于 2018-09-20 14:25:58

文章被收录于专栏：debugeeker的专栏 debugeeker的专栏debugeeker的专栏

在x86里，条件跳转的指令有：

JMP：无条件跳转
JAE/JNB：大于或等于跳转，用于无符号整数运算
JA/JNBE：不小于或不等于跳转，用于无符号整数运算
JB/JNAE：小于跳转，用于无符号整数运算
JBE/JNA：小于或等于跳转，用于无符号整数运算
JG/JNLE：大于跳转，用于有符号整数运算
JGE/JNL：大于或等于跳转，用于有符号整数运算
JL/JNGE ：小于跳转,用于有符号整数运算
JLE/JNG：小于或等于跳转,用于有符号整数运算
JE/JZ：等于跳转
JNE/JNZ：不等于跳转
JC：有进位跳转
JNC：无进位跳转
JNO：不溢出跳转
JNP/JPO：奇偶性为奇数跳转
JNS：符号位为 "0"跳转
JO：溢出跳转
JP/JPE：奇偶性为偶数跳转
JS：符号位为 "1" 跳转

上面这些指令，大多会检测EFLAGS寄存器相应的标志位来再决定是否跳转。而这些指令之前，往往会有一些设置这些标志位的指令。最常见的是cmp, test指令。那么，就可以根据上面指令快速构建条件结构的骨架。

下面通过例子来验证一下，由于在C/C++里，条件语句有if…elseif…else和switch两种，所以在例子会对两者都有探究。

先看一下例子：

 #include <stdio.h>

 int cond_if( int a, int b, int c )
 {
     if ( a == 0 )
     {
         return b + c;
     }
     else if ( a > 0 )
     {
         return b - c;
     }
     else
     {
         return b*c;
     }
 }
 
 int cond_switch( int a, int b, int c )
 {
     switch( a )
     {
         case 0:
             return b + c;
         case 1:
             return b - c;
         default:
             return b*c;
     }
 }
 
 int main()
 {
     int a = 0, b = 0, c = 0;

     scanf( "%d,%d,%d", &a, &b,&c );
	 
     return cond_if( a,b,c ) + cond_switch( a, b, c );
}

先看一下cond_if的汇编：

(gdb) disassemble cond_if
Dump of assembler code for function _Z7cond_ifiii:
   0x08048570 <+0>:     push   %ebp
   0x08048571 <+1>:     mov    %esp,%ebp

   0x08048573 <+3>:     cmpl   $0x0,0x8(%ebp)
   0x08048577 <+7>:     jne    0x8048583 <_Z7cond_ifiii+19>

   0x08048579 <+9>:     mov    0x10(%ebp),%eax
   0x0804857c <+12>:    mov    0xc(%ebp),%edx
   0x0804857f <+15>:    add    %edx,%eax

   0x08048581 <+17>:    jmp    0x804859e <_Z7cond_ifiii+46>
   0x08048583 <+19>:    cmpl   $0x0,0x8(%ebp)
   0x08048587 <+23>:    jle    0x8048597 <_Z7cond_ifiii+39>

   0x08048589 <+25>:    mov    0x10(%ebp),%eax
   0x0804858c <+28>:    mov    0xc(%ebp),%edx
   0x0804858f <+31>:    mov    %edx,%ecx
   0x08048591 <+33>:    sub    %eax,%ecx
   0x08048593 <+35>:    mov    %ecx,%eax

   0x08048595 <+37>:    jmp    0x804859e <_Z7cond_ifiii+46>

   0x08048597 <+39>:    mov    0xc(%ebp),%eax
   0x0804859a <+42>:    imul   0x10(%ebp),%eax
   0x0804859e <+46>:    pop    %ebp
   0x0804859f <+47>:    ret    
End of assembler dump.

由

   0x08048573 <+3>:     cmpl   $0x0,0x8(%ebp)
   0x08048577 <+7>:     jne    0x8048583 <_Z7cond_ifiii+19>

可知，这是判断cond_if的第一个参数a，是否等于0。如果不等于则跳转。那么，

   0x08048579 <+9>:     mov    0x10(%ebp),%eax
   0x0804857c <+12>:    mov    0xc(%ebp),%edx
   0x0804857f <+15>:    add    %edx,%eax

应该对应a等于0时要执行的语句，即

7	         return b + c;

由

   0x08048583 <+19>:    cmpl   $0x0,0x8(%ebp)
   0x08048587 <+23>:    jle    0x8048597 <_Z7cond_ifiii+39>

可知,这是判断a是否小于等于0，如果是则跳转。那么，

   0x08048589 <+25>:    mov    0x10(%ebp),%eax
   0x0804858c <+28>:    mov    0xc(%ebp),%edx
   0x0804858f <+31>:    mov    %edx,%ecx
   0x08048591 <+33>:    sub    %eax,%ecx
   0x08048593 <+35>:    mov    %ecx,%eax

应该对于a大于0的语句，即

11	         return b - c;

同时由

   0x08048583 <+19>:    cmpl   $0x0,0x8(%ebp)
   0x08048587 <+23>:    jle    0x8048597 <_Z7cond_ifiii+39>

可知, 0x08048597开始的指令是对应a小于0的情况，即

   0x08048597 <+39>:    mov    0xc(%ebp),%eax
   0x0804859a <+42>:    imul   0x10(%ebp),%eax

对应于

15	         return b*c;

再看一下cond_switch的汇编：

(gdb) disassemble cond_switch                
Dump of assembler code for function _Z11cond_switchiii:
   0x080485a0 <+0>:     push   %ebp
   0x080485a1 <+1>:     mov    %esp,%ebp
   0x080485a3 <+3>:     mov    0x8(%ebp),%eax

   0x080485a6 <+6>:     test   %eax,%eax
   0x080485a8 <+8>:     je     0x80485b1 <_Z11cond_switchiii+17>
   0x080485aa <+10>:    cmp    $0x1,%eax
   0x080485ad <+13>:    je     0x80485bb <_Z11cond_switchiii+27>
   0x080485af <+15>:    jmp    0x80485c9 <_Z11cond_switchiii+41>

   0x080485b1 <+17>:    mov    0x10(%ebp),%eax
   0x080485b4 <+20>:    mov    0xc(%ebp),%edx
   0x080485b7 <+23>:    add    %edx,%eax

   0x080485b9 <+25>:    jmp    0x80485d0 <_Z11cond_switchiii+48>

   0x080485bb <+27>:    mov    0x10(%ebp),%eax
   0x080485be <+30>:    mov    0xc(%ebp),%edx
   0x080485c1 <+33>:    mov    %edx,%ecx
   0x080485c3 <+35>:    sub    %eax,%ecx
   0x080485c5 <+37>:    mov    %ecx,%eax

   0x080485c7 <+39>:    jmp    0x80485d0 <_Z11cond_switchiii+48>

   0x080485c9 <+41>:    mov    0xc(%ebp),%eax
   0x080485cc <+44>:    imul   0x10(%ebp),%eax
   0x080485d0 <+48>:    pop    %ebp
   0x080485d1 <+49>:    ret    
End of assembler dump.

由

   0x080485a6 <+6>:     test   %eax,%eax
   0x080485a8 <+8>:     je     0x80485b1 <_Z11cond_switchiii+17>

可知，0x080485b1到0x080485b9这一段代码是属于参数a为0的情况（eax的值是从8（%ebp）即a得来的），所以，

   0x080485b1 <+17>:    mov    0x10(%ebp),%eax
   0x080485b4 <+20>:    mov    0xc(%ebp),%edx
   0x080485b7 <+23>:    add    %edx,%eax

对应于

24	             return b + c;

由

   0x080485aa <+10>:    cmp   $0x1,%eax
   0x080485ad <+13>:    je    0x80485bb <_Z11cond_switchiii+27>

可知，0x080485bb到0x080485c7是对应于a为1的情况，所以，

   0x080485bb <+27>:    mov    0x10(%ebp),%eax
   0x080485be <+30>:    mov    0xc(%ebp),%edx
   0x080485c1 <+33>:    mov    %edx,%ecx
   0x080485c3 <+35>:    sub    %eax,%ecx
   0x080485c5 <+37>:    mov    %ecx,%eax

对应

26	             return b - c;

而

   0x080485c9 <+41>:    mov    0xc(%ebp),%eax
   0x080485cc <+44>:    imul   0x10(%ebp),%eax

是由

   0x080485af <+15>:    jmp    0x80485c9 <_Z11cond_switchiii+41>

跳转的，0x080485af是判断完a不为0，1之后才会执行的，所以这段汇编对应于

28	             return b*c;

从上面来看，通过对跳转语句进行分析，能够很快还原代码原先的逻辑，也很容易定位到哪一行代码。也可以看到，if…else if…else和switch实际上在汇编里是没什么区别。

本文参与腾讯云自媒体分享计划，分享自作者个人站点/博客。

原始发表：2013年02月07日，如有侵权请联系 cloudcommunity@tencent.com 删除

其他

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体分享计划，欢迎热爱写作的你一起参与！

其他

登录后参与评论

0 条评论

热度

《coredump问题原理探究》Linux x86版4.3节函数的逆向之条件结构

《coredump问题原理探究》Linux x86版4.3节函数的逆向之条件结构

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐