前言
本次我们要介绍if语句,for循环编译后的反汇编内容,以C/C++编写的可执行程序为例进行分析
一只Demo
首先是一只Demo,是我们本次分析对象的源码
#include <stdio.h>void if_demo(int v)
{if (v > 5)printf("v > 5\n");elseprintf("v <= 5\n");
}void for_demo(int v)
{for (int i = 0; i < v; ++i){printf("item :%d\n", i);}
}int main()
{int v = 6;if_demo(v);for_demo(v);return 0;
}
本次的demo分为两部分,分别是if语句的demo,for语句的demo,我们首先把它编译为sample.exe 文件,然后使用调试器进行调试
IF 语句
首先我们先看一下 if_demo 函数反汇编后的效果
我们来看一下上面的反汇编内容,我们分成几部分来看
首先第一部分是 printf 语句,call sample.A610D7 是调用 printf 接口的汇编语句,再起上面的一条 push 语句为向printf压如参数,也就是要打印的字符串
接下来我们要识别的是条件判断语句
首先是 cmp 语句,cmp 语句由于比较两个操作数,将结果保存在标志寄存器中,具体是如何保存的我们暂时可以先不用管
接下来是一条条件跳转语 jle,jle 的全称是 Jump if less or equal,也就是上面cmp语句的比较结果为小于或等于时跳转,那也就以为着如果大于则不进行跳转。我们画一个图一看就明白了
FOR 循环
首先我们看一下 for_demo 的反汇编结果
我们还是分部分来看代码,左边的箭头显示了每一条指令的跳转位置,我们可以对比着看
这段代码的含义是调用printf打印第几次循环,也就是for中循环体部分的内容
这部分是对控制变量进行自增,然后进行比较,看看是否满足循环条件,如果不满足循环条件则通过jge指令跳转到循环体外面
这一行跳转语句用于在第一次循环时设置了控制变量为0后直接跳过对控制变量的自增部分,直接判断是否满足循环条件
这一条跳转语句用于跳转到控制变量自增的部分
接下来,还是一张图说明一下流程
安全性问题
虽然程序被编译为了汇编语言,但是对于有经验的逆向分析人员来说逻辑还是很清晰的,尤其是如果辅助了反编译工具,比如IDA一类,程序会被还原为跟源码差不多的伪代码,那我们程序的逻辑就更加的暴露无疑了,那我们的程序的安全性应该如何保证呢?
答案是我们需要对程序进行加固,我们可以下载一个 Virbox Protector 工具,然后对我们的程序进行加固,加固后的程序可以检测调试器,当有人调试我们的程序时程序就直接退出了,同时混淆虚拟化等等功能也会让我们程序变得无法分析