奇怪的反汇编代码-经典问答-看雪-安全社区|安全招聘|kanxue.com

奇怪的反汇编代码

2010-2-7 15:44 7068

奇怪的反汇编代码

blueapplez 活跃值

2010-2-7 15:44

7068

先看一段C代码：

BOOL Func(char *s1, char *s2)
{
if (lstrcmpA(s1, s2) == 0)
{
return TRUE;
}
return FALSE;
}

反汇编后是这样的

00401480  /$  8B4424 08     mov     eax, dword ptr [esp+8]
00401484  |.  8B4C24 04     mov     ecx, dword ptr [esp+4]
00401488  |.  50            push    eax                              ; /String2
00401489  |.  51            push    ecx                              ; |String1
0040148A  |.  FF15 00204000 call    dword ptr [<&KERNEL32.lstrcmpA>] ; \lstrcmpA
00401490  |.  F7D8          neg     eax
00401492  |.  1BC0          sbb     eax, eax
00401494  |.  40            inc     eax
00401495  \.  C3            retn
00401496      90            nop

我有点搞不懂，为什么不是下面这样的呢？

00401480  /$  8B4424 08     mov     eax, dword ptr [esp+8]
00401484  |.  8B4C24 04     mov     ecx, dword ptr [esp+4]
00401488  |.  50            push    eax                              ; /String2
00401489  |.  51            push    ecx                              ; |String1
0040148A  |.  FF15 00204000 call    dword ptr [<&KERNEL32.lstrcmpA>] ; \lstrcmpA
00401494  |.  40            inc     eax
00401495  \.  C3            retn
00401496      90            nop

干嘛要neg 对eax取反
然后再 sbb
直接 eax++ 不是一样的吗？

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

收藏・6

点赞・3

打赏

最新回复 (19)
resty 雪币： 424 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 190 粉丝 0 关注私信	resty 2 2010-2-7 15:53 2 楼 0 我又来了你的实现有问题，当lcmpstrA返回的不为0的时候，按理来说这个函数要返回0，但你的方法就不会返回0吧
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2010-2-7 15:56 3 楼 0 lstrcmp 不是只会传回 0 ' 1 而是正数 ' 零 ' 负数三种上面的写法可使得只有 EAX=零时, 才能 ret EAX=1 EAX= 正数 or 负数时 , ret EAX=0
resty 雪币： 424 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 190 粉丝 0 关注私信	resty 2 2010-2-7 15:59 4 楼 0 膜拜ls大牛，我不敢要分了
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2010-2-7 16:00 5 楼 0 6 ' 4 分帐
blueapplez 雪币： 454 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-2-7 16:06 6 楼 0 谁6谁4啊？晕我好像懂了 eax作为strcmp的返回值当eax=0时要返回1 当eax为其他时要返回0 我的逻辑是错误的但是有一点不懂，那个neg是干嘛的去掉 neg eax这句不也很完美吗？
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2010-2-7 16:09 7 楼 0 neg 是为了要设 CF 旗号因为 sbb 指令是 A - B - CF sbb eax, eax => 0 - CF
blueapplez 雪币： 454 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-2-7 16:11 8 楼 0 懂了膜拜2位大牛！ 5，5分吧万一你们俩打架多不好！
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2010-2-7 16:13 9 楼 0 ok 123
blueapplez 雪币： 454 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-2-7 16:19 10 楼 0 补充点汇编基础知识吧 neg指令详细解释规则：1. neg reg （对寄存器操作） 2. neg mem（对内存操作）作用：将目的操作数的所以数据位取反加1 影响的标志：进位标志（CF），零标志（ZF），符合标志（SF），溢出标志（OF），辅助进位标志（AF），奇偶标志（PF）当操作数为0时，置CF位为0 当操作数不为0时，置CF位为1 sbb指令 sbb a,b => a=a-b-CF 所以对开始那段反汇编的解释就是这样的：先neg一下， ①如果是eax = 0 则CF=0 sbb eax,eax后 eax=0 inc eax后 eax =1 最后eax=1，返回1 ②如果eax !=0, 则CF=1 sbb eax，eax后eax=0xFFFFFFFF inc eax后eax=0 最后eax=0，返回0 连接：http://hi.baidu.com/blueapple_c/blog/item/e795492bf89db2335243c1f7.html
贾宝玉雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 55 回帖 298 粉丝 0 关注私信	贾宝玉 2010-2-10 22:18 11 楼 0 哦。Apple兄这个问题很好，我有些茅塞顿开了
blueapplez 雪币： 454 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-2-10 23:55 12 楼 0 能对你有帮助，我很开心，哈哈。。。
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2010-2-11 00:41 13 楼 0 你是女生 ?
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 63 回帖 2380 粉丝 0 关注私信	zapline 2010-2-11 00:41 14 楼 0 大哥眼力不错
blueapplez 雪币： 454 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-2-11 09:14 15 楼 0 请喊我美女！ ps. S大是我妹妹，虽然没我俊。。。 Go on ps:为什么在我的笔记本上看我的头像挺正常的，在公司这个CRT显示器上怎么就这么黑？
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2010-2-11 11:37 16 楼 0 电灯要开.. 上传的附件： ---.JPG.jpg （9.01kb，53次下载）
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 794 粉丝 0 关注私信	xiilin 2010-2-11 15:35 17 楼 0 哇塞，又发现一个美女~~
blueapplez 雪币： 454 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-2-11 18:48 18 楼 0 咳咳。。。不能再水了昂
SIsIa 雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 216 粉丝 0 关注私信	SIsIa 2010-2-16 21:56 19 楼 0 1.你的笔记本太亮了。 2.你公司的笔记本太暗了。 3.你不给我加分。 4.人品问题。
block81838 雪币： 154 活跃值： (213) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	block81838 2023-5-10 17:49 20 楼 0 感谢解答我也懂了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

blueapplez

发帖

1048

回帖

610

RANK

关注

私信

他的文章

[求助] HideToolz3.0 x64驱动是用什么混淆的？

[原创]放一个扭曲CrackMe

[求助]win7下管理员权限的进程如何创建一个非管理员权限进程

[原创]A-Protect的一个BSOD

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
resty 雪币： 424 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 190 粉丝 0 关注私信	resty 2 2010-2-7 15:53 2 楼 0 我又来了你的实现有问题，当lcmpstrA返回的不为0的时候，按理来说这个函数要返回0，但你的方法就不会返回0吧
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2010-2-7 15:56 3 楼 0 lstrcmp 不是只会传回 0 ' 1 而是正数 ' 零 ' 负数三种上面的写法可使得只有 EAX=零时, 才能 ret EAX=1 EAX= 正数 or 负数时 , ret EAX=0
resty 雪币： 424 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 190 粉丝 0 关注私信	resty 2 2010-2-7 15:59 4 楼 0 膜拜ls大牛，我不敢要分了
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2010-2-7 16:00 5 楼 0 6 ' 4 分帐
blueapplez 雪币： 454 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-2-7 16:06 6 楼 0 谁6谁4啊？晕我好像懂了 eax作为strcmp的返回值当eax=0时要返回1 当eax为其他时要返回0 我的逻辑是错误的但是有一点不懂，那个neg是干嘛的去掉 neg eax这句不也很完美吗？
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2010-2-7 16:09 7 楼 0 neg 是为了要设 CF 旗号因为 sbb 指令是 A - B - CF sbb eax, eax => 0 - CF
blueapplez 雪币： 454 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-2-7 16:11 8 楼 0 懂了膜拜2位大牛！ 5，5分吧万一你们俩打架多不好！
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2010-2-7 16:13 9 楼 0 ok 123
blueapplez 雪币： 454 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-2-7 16:19 10 楼 0 补充点汇编基础知识吧 neg指令详细解释规则：1. neg reg （对寄存器操作） 2. neg mem（对内存操作）作用：将目的操作数的所以数据位取反加1 影响的标志：进位标志（CF），零标志（ZF），符合标志（SF），溢出标志（OF），辅助进位标志（AF），奇偶标志（PF）当操作数为0时，置CF位为0 当操作数不为0时，置CF位为1 sbb指令 sbb a,b => a=a-b-CF 所以对开始那段反汇编的解释就是这样的：先neg一下， ①如果是eax = 0 则CF=0 sbb eax,eax后 eax=0 inc eax后 eax =1 最后eax=1，返回1 ②如果eax !=0, 则CF=1 sbb eax，eax后eax=0xFFFFFFFF inc eax后eax=0 最后eax=0，返回0 连接：http://hi.baidu.com/blueapple_c/blog/item/e795492bf89db2335243c1f7.html
贾宝玉雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 55 回帖 298 粉丝 0 关注私信	贾宝玉 2010-2-10 22:18 11 楼 0 哦。Apple兄这个问题很好，我有些茅塞顿开了
blueapplez 雪币： 454 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-2-10 23:55 12 楼 0 能对你有帮助，我很开心，哈哈。。。
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2010-2-11 00:41 13 楼 0 你是女生 ?
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 63 回帖 2380 粉丝 0 关注私信	zapline 2010-2-11 00:41 14 楼 0 大哥眼力不错
blueapplez 雪币： 454 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-2-11 09:14 15 楼 0 请喊我美女！ ps. S大是我妹妹，虽然没我俊。。。 Go on ps:为什么在我的笔记本上看我的头像挺正常的，在公司这个CRT显示器上怎么就这么黑？
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2010-2-11 11:37 16 楼 0 电灯要开.. 上传的附件： ---.JPG.jpg （9.01kb，53次下载）
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 794 粉丝 0 关注私信	xiilin 2010-2-11 15:35 17 楼 0 哇塞，又发现一个美女~~
blueapplez 雪币： 454 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1048 粉丝 6 关注私信	blueapplez 14 2010-2-11 18:48 18 楼 0 咳咳。。。不能再水了昂
SIsIa 雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 216 粉丝 0 关注私信	SIsIa 2010-2-16 21:56 19 楼 0 1.你的笔记本太亮了。 2.你公司的笔记本太暗了。 3.你不给我加分。 4.人品问题。
block81838 雪币： 154 活跃值： (213) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	block81838 2023-5-10 17:49 20 楼 0 感谢解答我也懂了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复