-
-
[原创]逆向进阶——复杂分支结构逆向
-
发表于: 2011-2-22 12:39
-
熟知if-else的典型结构是逆向入门的必经路程,然而我们实际逆向时,遇到的情况远比这要复杂
一、条件分支的逆向基础——典型的if-else结构
我们知道简单的if-else的跳转结构是这样的。
例如:
if(i1<x1)
……;
else
……;
在反汇编结果中我们会看到类似下面的结果
两点说明::
①jxx AAAAAAAA 这句由于false则跳转,因此还原为if代码时,要注意。
②jmp BBBBBBBB 这句在功能上属于if的部分,但是如果没有else,编译器不会填写此句。
二、多层嵌套if-else
if(i<x1)
{…
if(i<x2)
{…
if(i<x3)
…..
else
…..
}
else
……
}
对应反汇编形态:(地址A、B、C、D从小到大分布)
Debug版:
说明:
这里我们看到在Debug版里,多层嵌套if-else只是简单重复单层if-else的结构。另外,jxx仍然是false则跳转,翻译为if时,要注意。
Release版:
说明:
我们看到Release版对Debug改进,避免了jmp的多次运行。
三、复合条件的条件分支
(1)与——&&
if(i1<x1 && i2<x2 && i3<x3)
……
else
……
反汇编形态:
说明:
N条分支全部向Jmp后跳转。
(2)或——||
if(i1<x1 || i2<x2 || i3<x3)
……
else
……
反汇编形态:
说明:
只有N-1个分支向jmp后跳转。
(3)混合
if(i1<x1||i2<x2&&i3<x3)
……
else
……
反汇编形态:
if(i1<x1&&i2<x2||i3<x3)
……
else
……
反汇编形态:
一、条件分支的逆向基础——典型的if-else结构
我们知道简单的if-else的跳转结构是这样的。
例如:
if(i1<x1)
……;
else
……;
在反汇编结果中我们会看到类似下面的结果
两点说明::
①jxx AAAAAAAA 这句由于false则跳转,因此还原为if代码时,要注意。
②jmp BBBBBBBB 这句在功能上属于if的部分,但是如果没有else,编译器不会填写此句。
二、多层嵌套if-else
if(i<x1)
{…
if(i<x2)
{…
if(i<x3)
…..
else
…..
}
else
……
}
对应反汇编形态:(地址A、B、C、D从小到大分布)
Debug版:
说明:
这里我们看到在Debug版里,多层嵌套if-else只是简单重复单层if-else的结构。另外,jxx仍然是false则跳转,翻译为if时,要注意。
Release版:
说明:
我们看到Release版对Debug改进,避免了jmp的多次运行。
三、复合条件的条件分支
(1)与——&&
if(i1<x1 && i2<x2 && i3<x3)
……
else
……
反汇编形态:
说明:
N条分支全部向Jmp后跳转。
(2)或——||
if(i1<x1 || i2<x2 || i3<x3)
……
else
……
反汇编形态:
说明:
只有N-1个分支向jmp后跳转。
(3)混合
if(i1<x1||i2<x2&&i3<x3)
……
else
……
反汇编形态:
if(i1<x1&&i2<x2||i3<x3)
……
else
……
反汇编形态:
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
总结得不错啊, 支持下
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
一直在自己探索,看到这篇文件头脑清醒多了。
|
|
|
|
|
|
MS 自身的程序编译后基本是这种情况。
|
