登录  | 立即注册

游客您好!登录后享受更多精彩

查看: 44|回复: 0

C++反汇编入门04.scanf()

[复制链接]

29

主题

1

回帖

38

积分

网站编辑

积分
38
发表于 2024-12-12 22:32:47 | 显示全部楼层 |阅读模式
本帖最后由 天行健 于 2024-12-12 22:34 编辑

现在我们来使用scanf()。
  1. #include <stdio.h>int main()
  2. <div>{
  3.     int x;
  4.     printf ("Enter X:");
  5.    scanf ("%d", &x);
  6.     printf ("You entered %d...", x);
  7.     return 0;
  8. };</div>
复制代码


好吧,我承认现在使用scanf()是不明智的,但是我想说明如何把指针传递给int变量。
6.1 关于指针
这是计算机科学中最基础的概念之一。通常,大数组、结构或对象经常被传递给其它函数,而传递它们的地址要更加简单。更重要的是:如果调用函数要修改数组或结构中的数据,并且作为整体返回,那么最简单的办法就是把数组或结构的地址传递给函数,让函数进行修改。
在C/C++中指针就是某处内存的地址。
在x86中,地址是以32位数表示的(占4字节);在x86-64中是64位数(占8字节)。顺便一说,这也是为什么有些人在改用x86-64时感到愤怒——x64架构中所有的指针需要的空间是原来的两倍。
通过某种方法,只使用无类型指针也是可行的。例如标准C函数memcpy(),用于把一个区块复制到另外一个区块上,需要两个void*型指针作为输入,因为你无法预知,也无需知道要复制区块的类型,区块的大小才是重要的。
当函数需要一个以上的返回值时也经常用到指针(等到第九章再讲)。scanf()就是这样,函数除了要显示成功读入的字符个数外,还要返回全部值。
在C/C++中,指针类型只是用于在编译阶段进行类型检查。本质上,在已编译的代码中并不包含指针类型的信息。
6.2 x866.2.1 MSVC
MVSC 2010编译后得到下面代码
  1. CONST SEGMENT
  2. $SG3831 DB ’Enter X:’, 0aH, 00H
  3. $SG3832 DB ’%d’, 00H
  4. 35
  5. 6.2. X86 CHAPTER 6. SCANF()
  6. $SG3833 DB ’You entered %d...’, 0aH, 00H
  7. CONST ENDS
  8. PUBLIC _main
  9. EXTRN _scanf:PROC
  10. EXTRN _printf:PROC
  11. ; Function compile flags: /Odtp
  12. _TEXT SEGMENT
  13. _x$ = -4 ; size = 4
  14. _main PROC
  15.         push    ebp
  16.         mov     ebp, esp
  17.         push    ecx
  18.         push    OFFSET $SG3831 ; ’Enter X:’
  19.         call    _printf
  20.         add     esp, 4
  21.         lea     eax, DWORD PTR _x$[ebp]
  22.         push    eax
  23.         push    OFFSET $SG3832 ; ’%d’
  24.         call    _scanf
  25.         add     esp, 8
  26.         mov     ecx, DWORD PTR _x$[ebp]
  27.         push    ecx
  28.         push    OFFSET $SG3833 ; ’You entered %d...’
  29.         call    _printf
  30.         add     esp, 8
  31.         ; return 0
  32.         xor     eax, eax
  33.         mov     esp, ebp
  34.         pop     ebp
  35.         ret     0
  36. _main ENDP
  37. _TEXT ENDS
复制代码



X是局部变量。
C/C++标准告诉我们它只对函数内部可见,无法从外部访问。习惯上,局部变量放在栈中。也可能有其他方法,但在x86中是这样。
函数序言后下一条指令PUSH ECX目的并不是要存储ECX的状态(注意程序结尾没有与之相对的POP ECX)。
事实上这条指令仅仅是在栈中分配了4字节用于存储变量x。
变量x可以用宏 _x$ 来访问(等于-4),EBP寄存器指向当前栈帧。
在一个函数执行完之后,EBP将指向当前栈帧,就无法通过EBP+offset来访问局部变量和函数参数了。
也可以使用ESP寄存器,但由于它经常变化所以使用不方便。所以说在函数刚开始时,EBP的值保存了此时ESP的值。
下面是一个非常典型的32位栈帧结构
...EBP-8 local variable #2, marked in IDA as var_8EBP-4 local variable #1, marked in IDA as var_4EBP saved value of EBPEBP+4 return addressEBP+8 argument#1, marked in IDA as arg_0EBP+0xC argument#2, marked in IDA as arg_4EBP+0x10 argument#3, marked in IDA as arg_8...

在我们的例子中,scanf()有两个参数。
第一个参数是指向"%d"的字符串指针,第二个是变量x的地址。
首先,lea eax, DWORD PTR _x$[ebp]指令将变量x的地址放入EAX寄存器。LEA作用是"取有效地址",然而之后的主要用途有所变化(b.6.2)。
可以说,LEA在这里只是把EBP的值与宏 _x$的值相乘,并存储在EAX寄存器中。
lea eax, [ebp-4]也是一样。
EBP的值减去4,结果放在EAX寄存器中。接着EAX寄存器的值被压入栈中,再调用printf()。
之后,printf()被调用。第一个参数是一个字符串指针:"You entered %d … "。
第二个参数是通过mov ecx, [ebp-4]使用的,这个指令把变量x的内容传给ECX而不是它的地址。
然后,ECX的值放入栈中,接着最后一次调用printf()。
6.2.2 MSVC+OllyDbg
让我们在OllyDbg中使用这个例子。首先载入程序,按F8直到进入我们的可执行文件而不是ntdll.dll。往下滚动屏幕找到main()。点击第一条指令(PUSH EBP),按F2,再按F9,触发main()开始处的断点。
让我们来跟随到准备变量x的地址的位置。图6.2
可以右击寄存器窗口的EAX,再点击"堆栈窗口中跟随"。这个地址会在堆栈窗口中显示。观察,这是局部栈中的一个变量。我在图中用红色箭头标出。这里是一些无用数据(0x77D478)。PUSH指令将会把这个栈元素的地址压入栈中。然后按F8直到scanf()函数执行完。在scanf()执行时,我们要在命令行窗口中输入,例如输入123。
1.png
图6.1 命令行输出
scanf()在这里执行。图6.3。scanf()在EAX中返回1,这意味着成功读入了一个值。现在我们关心的那个栈元素中的值是0x7B(123)。
接下来,这个值从栈中复制到ECX寄存器中,然后传递给printf()。图6.4
2.png
图6.2 OllyDbg:计算局部变量的地址
3.png
图6.3:OllyDbg:scanf()执行
4.png
图6.4:OllyDbg:准备把值传递给printf()
6.2.3 GCC
让我们在Linux GCC 4.4.1下编译这段代码
GCC把第一个调用的printf()替换成了puts(),原因在2.3.3节中讲过了。
和之前一样,参数都是用MOV指令放入栈中。
6.3 x64
和原来一样,只是传递参数时不使用栈而使用寄存器。
6.3.1 MSVC
  1. _DATA   SEGMENT
  2. $SG1289 DB ’Enter X:’, 0aH, 00H
  3. $SG1291 DB ’%d’, 00H
  4. $SG1292 DB ’You entered %d...’, 0aH, 00H
  5. _DATA   ENDS

  6. _TEXT   SEGMENT
  7. x$ = 32
  8. main    PROC
  9. $LN3:
  10.         sub rsp, 56
  11.         lea rcx, OFFSET FLAT:$SG1289 ; ’Enter X:’
  12.         call printf
  13.         lea rdx, QWORD PTR x$[rsp]
  14.         lea rcx, OFFSET FLAT:$SG1291 ; ’%d’
  15.         call scanf
  16.         mov edx, DWORD PTR x$[rsp]
  17.         lea rcx, OFFSET FLAT:$SG1292 ; ’You entered %d...’
  18.         call printf
  19.         ; return 0
  20.         xor eax, eax
  21.         add rsp, 56
  22.         ret 0
  23. main    ENDP
  24. _TEXT   ENDS
复制代码



6.3.2 GCC
  1. .LC0:
  2.         .string "Enter X:"
  3. .LC1:
  4.         .string "%d"
  5. .LC2:
  6.         .string "You entered %d...
  7. "
  8. main:
  9.         sub     rsp, 24
  10.         mov     edi, OFFSET FLAT:.LC0 ; "Enter X:"
  11.         call    puts
  12.         lea     rsi, [rsp+12]
  13.         mov     edi, OFFSET FLAT:.LC1 ; "%d"
  14.         xor     eax, eax
  15.         call    __isoc99_scanf
  16.         mov     esi, DWORD PTR [rsp+12]
  17.         mov     edi, OFFSET FLAT:.LC2 ; "You entered %d...
  18. "
  19.         xor     eax, eax
  20.         call    printf
  21.         ; return 0
  22.         xor     eax, eax
  23.         add     rsp, 24
  24.         ret
复制代码



6.4 ARM6.4.1 keil优化+thumb mode
  1. .text:00000042      scanf_main
  2. .text:00000042
  3. .text:00000042      var_8 = -8
  4. .text:00000042
  5. .text:00000042 08 B5            PUSH    {R3,LR}
  6. .text:00000044 A9 A0            ADR     R0, aEnterX ; "Enter X:
  7. "
  8. .text:00000046 06 F0 D3 F8      BL      __2printf
  9. .text:0000004A 69 46            MOV     R1, SP
  10. .text:0000004C AA A0            ADR     R0, aD ; "%d"
  11. .text:0000004E 06 F0 CD F8      BL      __0scanf
  12. .text:00000052 00 99            LDR     R1, [SP,#8+var_8]
  13. .text:00000054 A9 A0            ADR     R0, aYouEnteredD___ ; "You entered %d...
  14. "
  15. .text:00000056 06 F0 CB F8      BL      __2printf
  16. .text:0000005A 00 20            MOVS    R0, #0
  17. .text:0000005C 08 BD            POP     {R3,PC}
复制代码



必须把一个指向int变量的指针传递给scanf(),这样才能通过这个指针返回一个值。Int是一个32位的值,所以我们在内存中需要4字节存储,并且正好符合32位的寄存器。局部变量x的空间分配在栈中,IDA把他命名为var_8。然而并不需要分配空间,因为栈指针指向的空间可以被立即使用。所以栈指针的值被复制到R1寄存器中,然后和格式化字符串一起送入scanf()。然后LDR指令将这个值从栈中送入R1寄存器,用以送入printf()中。
用ARM-mode和Xcode LLVM编译的代码区别不大,这里略去。
6.5 Global Variables
如果之前的例子中的x变量不再是本地变量而是全局变量呢?那么就有机会接触任何指针,不仅仅是函数体,全局变量被认为anti-pattern(通常被认为是一个不好的习惯),但是为了试验,我们可以这样做。
  1. #include <stdio.h>
  2. int x;
  3. int main()
  4. {
  5.     printf ("Enter X:
  6. ");
  7.     scanf ("%d", &x);
  8.     printf ("You entered %d...
  9. ", x);
  10.     return 0;
  11. };
复制代码



6.5.1 MSVC: x86
  1. _DATA       SEGMENT
  2. COMM        _x:DWORD
  3. $SG2456     DB      ’Enter X:’, 0aH, 00H
  4. $SG2457     DB      ’%d’, 00H
  5. $SG2458     DB      ’You entered %d...’, 0aH, 00H
  6. _DATA   ENDS
  7. PUBLIC  _main
  8. EXTRN   _scanf:PROC
  9. EXTRN   _printf:PROC
  10. ; Function compile flags: /Odtp
  11. _TEXT   SEGMENT
  12. _main   PROC
  13.     push    ebp
  14.     mov     ebp, esp
  15.     push    OFFSET $SG2456
  16.     call    _printf
  17.     add     esp, 4
  18.     push    OFFSET _x
  19.     push    OFFSET $SG2457
  20.     call    _scanf
  21.     add     esp, 8
  22.     mov     eax, DWORD PTR _x
  23.     push    eax
  24.     push    OFFSET $SG2458
  25.     call    _printf
  26.     add     esp, 8
  27.     xor     eax, eax
  28.     pop     ebp
  29.     ret     0
  30. _main ENDP
  31. _TEXT ENDS
复制代码



现在x变量被定义为在_DATA部分,局部堆栈不允许再分配任何内存,除了直接访问内存所有通过栈的访问都不被允许。在执行的文件中全局变量还未初始化(实际上,我们为什么要在执行文件中为未初始化的变量分配一块?)但是当访问这里时,系统会在这里分配一块0值。
现在让我们来分析变量的分配。
  1. int x=10; // default value
复制代码

我们得到:
  1. _DATA   SEGMENT
  2. _x      DD      0aH
  3. ...
复制代码



这里我们看见一个双字节的值0xA(DD 表示双字节 = 32bit)
如果你在IDA中打开compiled.exe,你会发现x变量被放置在_DATA块的开始处,接着你就会看见文本字符串。
如果你在IDA中打开之前例子中的compiled.exe中X变量没有定义的地方,你就会看见像这样的东西:
  1. .data:0040FA80 _x               dd ?        ; DATA XREF: _main+10
  2. .data:0040FA80                              ; _main+22
  3. .data:0040FA84 dword_40FA84     dd ?        ; DATA XREF: _memset+1E
  4. .data:0040FA84                              ; unknown_libname_1+28
  5. .data:0040FA88 dword_40FA88     dd ?        ; DATA XREF: ___sbh_find_block+5
  6. .data:0040FA88                              ; ___sbh_free_block+2BC
  7. .data:0040FA8C ; LPVOID lpMem
  8. .data:0040FA8C lpMem            dd ?        ; DATA XREF: ___sbh_find_block+B
  9. .data:0040FA8C                              ; ___sbh_free_block+2CA
  10. .data:0040FA90 dword_40FA90     dd ?        ; DATA XREF: _V6_HeapAlloc+13
  11. .data:0040FA90                              ; __calloc_impl+72
  12. .data:0040FA94 dword_40FA94     dd ?        ; DATA XREF: ___sbh_free_block+2FE
复制代码



被_x替换了?其它变量也并未要求初始化,这也就是说在载入exe至内存后,在这里有一块针对所有变量的空间,并且还有一些随机的垃圾数据。但在在exe中这些没有初始化的变量并不影响什么,比如它适合大数组。
6.5.2 MSVC: x86 + OllyDbg
到这里事情就变得简单了(见表6.5),变量都在data部分,顺便说一句,在PUSH指令后,压入x的地址,被执行后,地址将会在栈中显示,那么右击元组数据,点击"Fllow in dump",然后变量就会在左侧内存窗口显示.
在命令行窗口中输入123后,这里就会显示0x7B
但是为什么第一个字节是7B?合理的猜测,这里会有一组00 00 7B,被称为是字节顺序,然后在x86中使用的是小端,也就是说低位数据先写,高位数据后写。
不一会,这里的32-bit值就会载入到EAX中,然后被传递给printf().
X变量地址是0xDC3390.在OllyDbg中我们看进程内存映射(Alt-M),然后发现这个地在PE文件.data结构处。见表6.6
5.png
表6.5 OllyDbg: scanf()执行后
6.png
表6.6: OllyDbg 进程内存映射
6.5.3 GCC: x86
这和linux中几乎是一样的,除了segment的名称和属性:未初始化变量被放置在_bss部分。
在ELF文件格式中,这部分数据有这样的属性:
  1. ; Segment type: Uninitialized
  2. ; Segment permissions: Read/Write
复制代码



如果静态的分配一个值,比如10,它将会被放在_data部分,这部分有下面的属性:
  1. ; Segment type: Pure data
  2. ; Segment permissions: Read/Write
复制代码



6.5.4 MSVC: x64
  1. _DATA       SEGMENT
  2. COMM        x:DWORD
  3. $SG2924     DB      ’Enter X:’, 0aH, 00H
  4. $SG2925     DB      ’%d’, 00H
  5. $SG2926     DB      ’You entered %d...’, 0aH, 00H
  6. _DATA       ENDS

  7. _TEXT       SEGMENT
  8. main        PROC
  9. $LN3:
  10.             sub     rsp, 40
  11.             lea     rcx, OFFSET FLAT:$SG2924 ; ’Enter X:’
  12.             call    printf
  13.             lea     rdx, OFFSET FLAT:x
  14.             lea     rcx, OFFSET FLAT:$SG2925 ; ’%d’
  15.             call    scanf
  16.             mov     edx, DWORD PTR x
  17.             lea     rcx, OFFSET FLAT:$SG2926 ; ’You entered %d...’
  18.             call    printf
  19.             ; return 0
  20.             xor     eax, eax
  21.             add     rsp, 40
  22.             ret     0
  23. main ENDP
  24. _TEXT ENDS
复制代码



几乎和x86中的代码是一样的,发现x变量的地址传递给scanf()用的是LEA指令,尽管第二处传递给printf()变量时用的是MOV指令,"DWORD PTR"——是汇编语言中的一部分(和机器码没有联系)。这就表示变量数据类型是32-bit,于是MOV指令就被编码了。
6.5.5 ARM:Optimizing Keil + thumb mode
  1. .text:00000000 ; Segment type: Pure code
  2. .text:00000000          AREA .text, CODE
  3. ...
  4. .text:00000000 main
  5. .text:00000000                  PUSH    {R4,LR}
  6. .text:00000002                  ADR     R0, aEnterX         ; "Enter X:
  7. "
  8. .text:00000004                  BL      __2printf
  9. .text:00000008                  LDR     R1, =x
  10. .text:0000000A                  ADR     R0, aD              ; "%d"
  11. .text:0000000C                  BL      __0scanf
  12. .text:00000010                  LDR     R0, =x
  13. .text:00000012                  LDR     R1, [R0]
  14. .text:00000014                  ADR     R0, aYouEnteredD___ ; "You entered %d...
  15. "
  16. .text:00000016                  BL      __2printf
  17. .text:0000001A                  MOVS    R0, #0
  18. .text:0000001C                  POP     {R4,PC}
  19. ...
  20. .text:00000020 aEnterX          DCB     "Enter X:",0xA,0    ; DATA XREF: main+2
  21. .text:0000002A                  DCB     0
  22. .text:0000002B                  DCB     0
  23. .text:0000002C off_2C           DCD x                       ; DATA XREF: main+8
  24. .text:0000002C                                      ; main+10
  25. .text:00000030 aD               DCB     "%d",0              ; DATA XREF: main+A
  26. .text:00000033                  DCB 0
  27. .text:00000034 aYouEnteredD___  DCB "You entered %d...",0xA,0 ; DATA XREF: main+14
  28. .text:00000047                  DCB 0
  29. .text:00000047 ; .text          ends
  30. .text:00000047
  31. ...
  32. .data:00000048 ; Segment type:  Pure data
  33. .data:00000048                  AREA .data, DATA
  34. .data:00000048                  ; ORG 0x48
  35. .data:00000048                  EXPORT x
  36. .data:00000048 x                DCD 0xA                     ; DATA XREF: main+8
  37. .data:00000048                                              ; main+10
  38. .data:00000048                                              ; .data ends
复制代码



那么,现在x变量以某种方式变为全局的,现在被放置在另一个部分中。命名为data块(.data)。有人可能会问,为什么文本字符串被放在了代码块(.text),而且x可以被放在这?因为这是变量,而且根据它的定义,它可以变化,也有可能会频繁变化,不频繁变化的代码块可以被放置在ROM中,变化的变量在RAM中,当有ROM时在RAM中储存不变的变量是不利于节约资源的。
此外,RAM中数据部分常量必须在之前初始化,因为在RAM使用后,很明显,将会包含杂乱的信息。
继续向前,我们可以看到,在代码片段,有个指针指向X变量(0ff_2C)。然后所有关于变量的操作都是通过这个指针。这也是x变量可以被放在远离这里地方的原因。所以他的地址一定被存在离这很近的地方。LDR指令在thumb模式下只可访问指向地址在1020bytes内的数据。同样的指令在ARM模式下——范围就达到了4095bytes,也就是x变量地址一定要在这附近的原因。因为没法保证链接时会把这个变量放在附近。
另外,如果变量以const声明,Keil编译环境下则会将变量放在.constdata部分,大概从那以后,链接时就可以把这部分和代码块放在ROM里了。
6.6 scanf()结果检查
正如我之前所见的,现在使用scanf()有点过时了,但是如过我们不得不这样做时,我们需要检查scanf()执行完毕时是否发生了错误。
  1. #include <stdio.h>
  2. int main()
  3. {
  4.     int x;
  5.     printf ("Enter X:
  6. ");

  7.     if (scanf ("%d", &x)==1)
  8.         printf ("You entered %d...
  9. ", x);
  10.     else
  11.         printf ("What you entered? Huh?
  12. ");

  13.     return 0;
  14. };
复制代码



按标准,scanf()函数返回成功获取的字段数。
在我们的例子中,如果事情顺利,用户输入一个数字,scanf()将会返回1或0或者错误情况下返回EOF.
这里,我们添加了一些检查scanf()结果的c代码,用来打印错误信息:
按照预期的回显:
  1. C:...>ex3.exe
  2. Enter X:
  3. 123
  4. You entered 123...

  5. C:...>ex3.exe
  6. Enter X:
  7. ouch
  8. What you entered? Huh?
复制代码



6.6.1 MSVC: x86
我们可以得到这样的汇编代码(msvc2010):
  1.         lea     eax, DWORD PTR _x$[ebp]
  2.         push    eax
  3.         push    OFFSET $SG3833 ; ’%d’, 00H
  4.         call    _scanf
  5.         add     esp, 8
  6.         cmp     eax, 1
  7.         jne     SHORT $LN2@main
  8.         mov     ecx, DWORD PTR _x$[ebp]
  9.         push    ecx
  10.         push    OFFSET $SG3834 ; ’You entered %d...’, 0aH, 00H
  11.         call    _printf
  12.         add     esp, 8
  13.         jmp     SHORT $LN1@main
  14. $LN2@main:
  15.         push    OFFSET $SG3836 ; ’What you entered? Huh?’, 0aH, 00H
  16.         call    _printf
  17.         add     esp, 4
  18. $LN1@main:
  19.         xor     eax, eax
复制代码



调用函数(main())必须能够访问到被调用函数(scanf())的结果,所以callee把这个值留在了EAX寄存器中。
然后我们在"CMP EAX, 1"指令的帮助下,换句话说,我们将eax中的值与1进行比较。
JNE根据CMP的结果判断跳至哪,JNE表示(jump if Not Equal)
所以,如果EAX中的值不等于1,那么处理器就会将执行流程跳转到JNE指向的,在我们的例子中是$LN2@main,当流程跳到这里时,CPU将会带着参数"What you entered? Huh?"执行printf(),但是执行正常,就不会发生跳转,然后另外一个printf()就会执行,两个参数为"You entered %d…"及x变量的值。
因为第二个printf()并没有被执行,后面有一个JMP(无条件跳转),就会将执行流程到第二个printf()后"XOR EAX, EAX"前,执行完返回0。
那么,可以这么说,比较两个值通常使用CMP/Jcc这对指令,cc是条件码,CMP比较两个值,然后设置processor flag,Jcc检查flags然后判断是否跳。
但是事实上,这却被认为是诡异的。但是CMP指令事实上,但是CMP指令实际上是SUB(subtract),所有算术指令都会设置processor flags,不仅仅只有CMP,当我们比较1和1时,1结果就变成了0,ZF flag就会被设定(表示最后一次的比较结果为0),除了两个数相等以外,再没有其他情况了。JNE 检查ZF flag,如果没有设定就会跳转。JNE实际上就是JNZ(Jump if Not Zero)指令。JNE和JNZ的机器码都是一样的。所以CMP指令可以被SUB指令代替,几乎一切的都没什么变化。但是SUB会改变第一个数,CMP是"SUB without saving result".
6.6.2 MSVC: x86:IDA
现在是时候打开IDA然后尝试做些什么了,顺便说一句。对于初学者来说使用在MSVC中使用/MD是个非常好的主意。这样所有独立的函数不会从可执行文件中link,而是从MSVCR*.dll。因此这样可以简单明了的发现函数在哪里被调用。
当在IDA中分析代码时,建议一定要做笔记。比如在分析这个例子的时候,我们看到了JNZ将要被设置为error,所以点击标注,然后标注为"error"。另外一处标注在"exit":
  1. .text:00401000 _main proc near
  2. .text:00401000
  3. .text:00401000 var_4        = dword ptr -4
  4. .text:00401000 argc         = dword ptr 8
  5. .text:00401000 argv         = dword ptr 0Ch
  6. .text:00401000 envp         = dword ptr 10h
  7. .text:00401000
  8. .text:00401000              push    ebp
  9. .text:00401001              mov     ebp, esp
  10. .text:00401003              push    ecx
  11. .text:00401004              push    offset Format   ; "Enter X:
  12. "
  13. .text:00401009              call    ds:printf
  14. .text:0040100F              add     esp, 4
  15. .text:00401012              lea     eax, [ebp+var_4]
  16. .text:00401015              push    eax
  17. .text:00401016              push    offset aD       ; "%d"
  18. .text:0040101B              call    ds:scanf
  19. .text:00401021              add     esp, 8
  20. .text:00401024              cmp     eax, 1
  21. .text:00401027              jnz     short error
  22. .text:00401029              mov     ecx, [ebp+var_4]
  23. .text:0040102C              push    ecx
  24. .text:0040102D              push    offset aYou     ; "You entered %d...
  25. "
  26. .text:00401032              call    ds:printf
  27. .text:00401038              add     esp, 8
  28. .text:0040103B              jmp     short exit
  29. .text:0040103D ; ---------------------------------------------------------------------------
  30. .text:0040103D
  31. .text:0040103D error:                               ; CODE XREF: _main+27
  32. .text:0040103D              push    offset aWhat    ; "What you entered? Huh?
  33. "
  34. .text:00401042              call    ds:printf
  35. .text:00401048              add     esp, 4
  36. .text:0040104B
  37. .text:0040104B exit:                                ; CODE XREF: _main+3B
  38. .text:0040104B              xor     eax, eax
  39. .text:0040104D              mov     esp, ebp
  40. .text:0040104F              pop     ebp
  41. .text:00401050              retn
  42. .text:00401050 _main   endp
复制代码



现在理解代码就变得非常简单了。然而过分的标注指令却不是一个好主意。
函数的一部分有可能也会被IDA隐藏:
我隐藏了两部分然后分别给它们命名:
  1. .text:00401000 _text        segment para public ’CODE’ use32
  2. .text:00401000              assume cs:_text
  3. .text:00401000              ;org 401000h
  4. .text:00401000 ; ask for X
  5. .text:00401012 ; get X
  6. .text:00401024              cmp     eax, 1
  7. .text:00401027              jnz     short error
  8. .text:00401029 ; print result
  9. .text:0040103B              jmp     short exit
  10. .text:0040103D ; ---------------------------------------------------------------------------
  11. .text:0040103D
  12. .text:0040103D error:                               ; CODE XREF: _main+27
  13. .text:0040103D              push    offset aWhat    ; "What you entered? Huh?
  14. "
  15. .text:00401042              call    ds:printf
  16. .text:00401048              add     esp, 4
  17. .text:0040104B
  18. .text:0040104B exit:                                ; CODE XREF: _main+3B
  19. .text:0040104B              xor     eax, eax
  20. .text:0040104D              mov     esp, ebp
  21. .text:0040104F              pop     ebp
  22. .text:00401050              retn
  23. .text:00401050 _main        endp
复制代码



如果要显示这些隐藏的部分,我们可以点击数字上的+。
为了压缩"空间",我们可以看到IDA怎样用图表代替一个函数的(见图6.7),然后在每个条件跳转处有两个箭头,绿色和红色。绿色箭头代表如果跳转触发的方向,红色则相反。
当然可以折叠节点,然后备注名称,我像这样处理了3块(见图 6.8):
这个非常的有用。可以这么说,逆向工程师很重要的一点就是缩小他所有的信息。
7.png
图6.7: IDA 图形模式
8.png
图6.8: Graph mode in IDA with 3 nodes folded
6.6.3 MSVC: x86 + OllyDbg
让我们继续在OllyDbg中看这个范例程序,使它认为scanf()怎么运行都不会出错。
当本地变量地址被传递给scanf()时,这个变量还有一些垃圾数据。这里是0x4CD478:见图6.10
当scanf()执行时,我在命令行窗口输入了一些不是数字的东西,像"asdasd".scanf()结束后eax变为了0.也就意味着有错误发生:见图6.11
我们也可以发现栈中的本地变量并没有发生变化,scanf()会在那里写入什么呢?其实什么都没有,只是返回了0.
现在让我们尝试修改这个程序,右击EAX,在选项中有个"set to 1",这正是我们所需要的。
现在EAX是1了。那么接下来的检查就会按照我们的需求执行,然后printf()将会打印出栈上的变量。
按下F9我们可以在窗口中看到:
9.png
图6.9
实际上,5035128是栈上一个数据(0x4CD478)的十进制表示!
10.png
图6.10
11.png
图6.11
6.6.4 MSVC: x86 + Hlew
这也是一个关于可执行文件patch的简单例子,我们之前尝试patch程序,所以程序总是打印数字,不管我们输入什么。
假设编译时并没有使用/MD,我们可以在.text开始的地方找到main()函数,现在让我们在Hiew中打开执行文件。找到.text的开始处(enter,F8,F6,enter,enter)
我们可以看到这个:表6.13
然后按下F9(update),现在文件保存在了磁盘中,就像我们想要的。
两个NOP可能看起来并不是那么完美,另一个方法是把0写在第二处(jump offset),所以JNZ就可以总是跳到下一个指令了。
另外我们也可以这样做:替换第一个字节为EB,这样就不修改第二处(jump offset),这样就会无条件跳转,不管我们输入什么,错误信息都可以打印出来了。
13.png
图6.12:main()函数
14.png
图6.13:Hiew 用两个NOP替换JNZ
6.6.5 GCC: x86
生成的代码和gcc 4.4.1是一样的,除了我们之前已经考虑过的
6.6.6 MSVC: x64
因为我们这里处理的是无整型变量。在x86-64中还是32bit,我们可以看出32bit的寄存器(前缀为E)在这种情况下是怎样使用的,然而64bit的寄存也有被使用(前缀R)
  1. _DATA       SEGMENT
  2. $SG2924     DB      ’Enter X:’, 0aH, 00H
  3. $SG2926     DB      ’%d’, 00H
  4. $SG2927     DB      ’You entered %d...’, 0aH, 00H
  5. $SG2929     DB      ’What you entered? Huh?’, 0aH, 00H
  6. _DATA       ENDS

  7. _TEXT       SEGMENT
  8. x$ = 32
  9. main        PROC
  10. $LN5:
  11.             sub         rsp, 56
  12.             lea         rcx, OFFSET FLAT:$SG2924 ; ’Enter X:’
  13.             call        printf
  14.             lea         rdx, QWORD PTR x$[rsp]
  15.             lea         rcx, OFFSET FLAT:$SG2926 ; ’%d’
  16.             call        scanf
  17.             cmp         eax, 1
  18.             jne         SHORT $LN2@main
  19.             mov         edx, DWORD PTR x$[rsp]
  20.             lea         rcx, OFFSET FLAT:$SG2927 ; ’You entered %d...’
  21.             call        printf
  22.             jmp         SHORT $LN1@main
  23. $LN2@main:
  24.             lea rcx, OFFSET FLAT:$SG2929 ; ’What you entered? Huh?’
  25.             call printf
  26. $LN1@main:
  27.             ; return 0
  28.             xor         eax, eax
  29.             add         rsp, 56
  30.             ret         0
  31. main        ENDP
  32. _TEXT       ENDS
  33. END
复制代码



6.6.7 ARM:Optimizing Keil + thumb mode
  1. var_8       = -8

  2.             PUSH    {R3,LR}
  3.             ADR     R0, aEnterX         ; "Enter X:
  4. "
  5.             BL      __2printf
  6.             MOV     R1, SP
  7.             ADR     R0, aD              ; "%d"
  8.             BL      __0scanf
  9.             CMP     R0, #1
  10.             BEQ     loc_1E
  11.             ADR     R0, aWhatYouEntered ; "What you entered? Huh?
  12. "
  13.             BL      __2printf
  14. loc_1A                                  ; CODE XREF: main+26
  15.             MOVS    R0, #0
  16.             POP     {R3,PC}

  17. loc_1E                                  ; CODE XREF: main+12
  18.             LDR     R1, [SP,#8+var_8]
  19.             ADR     R0, aYouEnteredD___ ; "You entered %d...
  20. "
  21.             BL      __2printf
  22.             B       loc_1A
复制代码



这里有两个新指令CMP 和BEQ.
CMP和x86指令中的相似,它会用一个参数减去另外一个参数然后保存flag.
BEQ是跳向另一处地址,如果数相等就会跳,如果最后一次比较结果为0,或者Z flag是1。和x86中的JZ是一样的。
其他的都很简单,执行流程分为两个方向,当R0被写入0后,两个方向则会合并,作为函数的返回值,然后函数结束。

本帖被以下淘专辑推荐:

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|断点社区 |网站地图

GMT+8, 2024-12-23 20:25 , Processed in 0.112607 second(s), 35 queries .

Powered by XiunoBBS

Copyright © 2001-2025, 断点社区.

快速回复 返回顶部 返回列表