[分享]汇编代码转为换c代码的练习-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享]汇编代码转为换c代码的练习

发表于: 2011-3-6 15:38 13880

[分享]汇编代码转为换c代码的练习

cnhnyu

2011-3-6 15:38

13880

最近在学习汇编以及windows安全编程，总感觉汇编代码看起来有些费劲，看《加密解密》之类的书籍感觉虽然看着是那么一回事，但是动手太少，没有太大进步，总结一句话：纸上得来终觉浅，方知此事要躬行。于是自己写了一个小程序，然后看看汇编代码，再对照汇编代码，一步步看看c代码的实现，感觉经过实际的分析，收获不少，于是写成小文章，和大家一起分享一下。有问题还望指正，谢谢。

因为文章涉及到排版问题，发贴比较麻烦，做成了pdf，大家自己下载吧。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

汇编代码转为换c代码的练习.pdf （202.73kb，368次下载）

收藏・7

免费・7

支持

最新回复 (21)
loongboy 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	loongboy 2 楼 "0040D784 ret 8; 这里的ret 8 相当于sub esp, 8; pop eip; jmp 函数返回地址，从这里面也可以看出，该函数是内部平衡栈空间的，是stdcall 的调用方式" 有点小问题吧？知道了个vc的编译特点。初涉的菜鸟学习啦 2011-3-6 16:04 0
bluecode 雪币： 303 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 184 粉丝 0 关注私信	bluecode 3 楼学习下. 2011-3-6 16:06 0
cnhnyu 雪币： 387 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 185 粉丝 0 关注私信	cnhnyu 2 4 楼什么问题，能说一下吗？ 2011-3-6 16:09 0
loongboy 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	loongboy 5 楼 ret 立即数是在返回时，平衡堆栈，堆栈向下增长。所以应该是add esp, 立即数是吧？另外应该是先pop eip,再对esp进行操作的吧？我也不是很确定，因为我就是闲着没事看过一遍8086汇编，没实际写过。 2011-3-6 16:16 0
cnhnyu 雪币： 387 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 185 粉丝 0 关注私信	cnhnyu 2 6 楼 __cdecl 调用方式的add函数: 00401020 push ebp 00401021 mov ebp,esp 00401023 sub esp,40h 00401026 push ebx 00401027 push esi 00401028 push edi 00401029 lea edi,[ebp-40h] 0040102C mov ecx,10h 00401031 mov eax,0CCCCCCCCh 00401036 rep stos dword ptr [edi] 00401038 mov eax,dword ptr [ebp+8] 0040103B add eax,dword ptr [ebp+0Ch] 0040103E pop edi 0040103F pop esi 00401040 pop ebx 00401041 mov esp,ebp 00401043 pop ebp 00401044 ret __stdcall 调用方式add函数： 00401020 push ebp 00401021 mov ebp,esp 00401023 sub esp,40h 00401026 push ebx 00401027 push esi 00401028 push edi 00401029 lea edi,[ebp-40h] 0040102C mov ecx,10h 00401031 mov eax,0CCCCCCCCh 00401036 rep stos dword ptr [edi] 00401038 mov eax,dword ptr [ebp+8] 0040103B add eax,dword ptr [ebp+0Ch] 0040103E pop edi 0040103F pop esi 00401040 pop ebx 00401041 mov esp,ebp 00401043 pop ebp 00401044 ret 8 这里比对一下，除了最后一条指令不一样，其它都一样， __cdecl栈外平衡，所以，直接ret __stdcall栈内平衡，所以ret 8 ret指令相当于： pop eip ret 8 指令相当于： pop eip add esp, 8 因为调用的时候，先push参数的，再push返回地址的： push y push x push 返回地址 jmp add函数地址对应的ret应该是完全相反的： pop eip ; pop返回地址到eip pop x pop y 后面pop x; popy两条合成一条： add esp, 8 当然实际上pop eip指令是不对的， cpu不支持，但是意思是这样的， ret指令的作用是这样的 2011-3-6 16:17 0
cnhnyu 雪币： 387 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 185 粉丝 0 关注私信	cnhnyu 2 7 楼哦，不好意思，写错了，的确是add esp, xxx ，我已经修改附件了。栈是向下增长， push xxx相当于 sub esp, n pop xxx 相当于 add esp, n 栈的向下增长，这里面的“向下”意思是低地址方向，从高地址到低地址。高地址 FFFFFFFF ^ \| \| 低地址 00000000 一般说“向下增长”画图像上面这么画。有的书上的图是倒着画的：低地址 00000000 \| \| \/ 高地址 FFFFFFFF 这个是还说“向下增长”容易让人迷惑，明明“向上”吗所以，以后我看书，只要说“向下”我就认为是低地址，这样就没有那么容易混淆了。 2011-3-6 16:31 0
loongboy 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	loongboy 8 楼 pdf里面也有堆栈结构的图嘛 esp一改，再pop eip不就弹出来个参数呢？ 2011-3-6 16:33 0
cnhnyu 雪币： 387 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 185 粉丝 0 关注私信	cnhnyu 2 9 楼谢谢楼上指出问题，我已经修改附件了。这个栈的push和pop对应的加还是减我总是搞错，要是画图的话，倒还好 2011-3-6 16:52 0
robbenmess 雪币： 69 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 56 粉丝 0 关注私信	robbenmess 10 楼学习了。。。 2011-3-9 01:36 0
lnheart 雪币： 777 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	lnheart 11 楼看隨便看一遍就會啊、真厲害 2011-3-9 08:37 0
guenli 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 74 粉丝 1 关注私信	guenli 12 楼学习了,谢谢楼主的分享啊! 2011-6-24 11:35 0
coolfly 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	coolfly 13 楼下载了，谢谢楼主 2011-6-25 12:46 0
boyving 雪币： 2545 活跃值： (1762) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 164 粉丝 0 关注私信	boyving 14 楼楼主厉害，学习中 2011-7-3 20:25 0
yizulove 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 41 粉丝 0 关注私信	yizulove 15 楼顶下楼主，楼主辛苦，收藏了 2011-7-4 22:19 0
Nerin 雪币： 293 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	Nerin 2 16 楼 lz码字辛苦了，支持下。 2011-7-4 22:23 0
luoyunxin 雪币： 97 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 44 粉丝 0 关注私信	luoyunxin 17 楼 thanks! 2011-7-4 23:32 0
萝卜雪币： 260 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 48 回帖 833 粉丝 2 关注私信	萝卜 1 18 楼辛苦，支持！ 2011-7-7 01:28 0
cornera 雪币： 224 活跃值： (55) 能力值： ( LV2，RANK：140 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	cornera 3 19 楼 support！！ 2011-7-7 11:59 0
小龙人雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	小龙人 20 楼看了三次，网上查了一些资料，在汇编和C上功力又进一步。 2011-7-14 17:05 0
thaldn 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	thaldn 21 楼 lz辛苦,向lz致敬 2011-7-14 22:11 0
kunsing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kunsing 22 楼不错，支持 2011-7-15 09:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cnhnyu

发帖

185

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
loongboy 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	loongboy 2 楼 "0040D784 ret 8; 这里的ret 8 相当于sub esp, 8; pop eip; jmp 函数返回地址，从这里面也可以看出，该函数是内部平衡栈空间的，是stdcall 的调用方式" 有点小问题吧？知道了个vc的编译特点。初涉的菜鸟学习啦 2011-3-6 16:04 0
bluecode 雪币： 303 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 184 粉丝 0 关注私信	bluecode 3 楼学习下. 2011-3-6 16:06 0
cnhnyu 雪币： 387 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 185 粉丝 0 关注私信	cnhnyu 2 4 楼什么问题，能说一下吗？ 2011-3-6 16:09 0
loongboy 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	loongboy 5 楼 ret 立即数是在返回时，平衡堆栈，堆栈向下增长。所以应该是add esp, 立即数是吧？另外应该是先pop eip,再对esp进行操作的吧？我也不是很确定，因为我就是闲着没事看过一遍8086汇编，没实际写过。 2011-3-6 16:16 0
cnhnyu 雪币： 387 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 185 粉丝 0 关注私信	cnhnyu 2 6 楼 __cdecl 调用方式的add函数: 00401020 push ebp 00401021 mov ebp,esp 00401023 sub esp,40h 00401026 push ebx 00401027 push esi 00401028 push edi 00401029 lea edi,[ebp-40h] 0040102C mov ecx,10h 00401031 mov eax,0CCCCCCCCh 00401036 rep stos dword ptr [edi] 00401038 mov eax,dword ptr [ebp+8] 0040103B add eax,dword ptr [ebp+0Ch] 0040103E pop edi 0040103F pop esi 00401040 pop ebx 00401041 mov esp,ebp 00401043 pop ebp 00401044 ret __stdcall 调用方式add函数： 00401020 push ebp 00401021 mov ebp,esp 00401023 sub esp,40h 00401026 push ebx 00401027 push esi 00401028 push edi 00401029 lea edi,[ebp-40h] 0040102C mov ecx,10h 00401031 mov eax,0CCCCCCCCh 00401036 rep stos dword ptr [edi] 00401038 mov eax,dword ptr [ebp+8] 0040103B add eax,dword ptr [ebp+0Ch] 0040103E pop edi 0040103F pop esi 00401040 pop ebx 00401041 mov esp,ebp 00401043 pop ebp 00401044 ret 8 这里比对一下，除了最后一条指令不一样，其它都一样， __cdecl栈外平衡，所以，直接ret __stdcall栈内平衡，所以ret 8 ret指令相当于： pop eip ret 8 指令相当于： pop eip add esp, 8 因为调用的时候，先push参数的，再push返回地址的： push y push x push 返回地址 jmp add函数地址对应的ret应该是完全相反的： pop eip ; pop返回地址到eip pop x pop y 后面pop x; popy两条合成一条： add esp, 8 当然实际上pop eip指令是不对的， cpu不支持，但是意思是这样的， ret指令的作用是这样的 2011-3-6 16:17 0
cnhnyu 雪币： 387 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 185 粉丝 0 关注私信	cnhnyu 2 7 楼哦，不好意思，写错了，的确是add esp, xxx ，我已经修改附件了。栈是向下增长， push xxx相当于 sub esp, n pop xxx 相当于 add esp, n 栈的向下增长，这里面的“向下”意思是低地址方向，从高地址到低地址。高地址 FFFFFFFF ^ \| \| 低地址 00000000 一般说“向下增长”画图像上面这么画。有的书上的图是倒着画的：低地址 00000000 \| \| \/ 高地址 FFFFFFFF 这个是还说“向下增长”容易让人迷惑，明明“向上”吗所以，以后我看书，只要说“向下”我就认为是低地址，这样就没有那么容易混淆了。 2011-3-6 16:31 0
loongboy 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	loongboy 8 楼 pdf里面也有堆栈结构的图嘛 esp一改，再pop eip不就弹出来个参数呢？ 2011-3-6 16:33 0
cnhnyu 雪币： 387 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 185 粉丝 0 关注私信	cnhnyu 2 9 楼谢谢楼上指出问题，我已经修改附件了。这个栈的push和pop对应的加还是减我总是搞错，要是画图的话，倒还好 2011-3-6 16:52 0
robbenmess 雪币： 69 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 56 粉丝 0 关注私信	robbenmess 10 楼学习了。。。 2011-3-9 01:36 0
lnheart 雪币： 777 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	lnheart 11 楼看隨便看一遍就會啊、真厲害 2011-3-9 08:37 0
guenli 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 74 粉丝 1 关注私信	guenli 12 楼学习了,谢谢楼主的分享啊! 2011-6-24 11:35 0
coolfly 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	coolfly 13 楼下载了，谢谢楼主 2011-6-25 12:46 0
boyving 雪币： 2545 活跃值： (1762) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 164 粉丝 0 关注私信	boyving 14 楼楼主厉害，学习中 2011-7-3 20:25 0
yizulove 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 41 粉丝 0 关注私信	yizulove 15 楼顶下楼主，楼主辛苦，收藏了 2011-7-4 22:19 0
Nerin 雪币： 293 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	Nerin 2 16 楼 lz码字辛苦了，支持下。 2011-7-4 22:23 0
luoyunxin 雪币： 97 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 44 粉丝 0 关注私信	luoyunxin 17 楼 thanks! 2011-7-4 23:32 0
萝卜雪币： 260 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 48 回帖 833 粉丝 2 关注私信	萝卜 1 18 楼辛苦，支持！ 2011-7-7 01:28 0
cornera 雪币： 224 活跃值： (55) 能力值： ( LV2，RANK：140 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	cornera 3 19 楼 support！！ 2011-7-7 11:59 0
小龙人雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	小龙人 20 楼看了三次，网上查了一些资料，在汇编和C上功力又进一步。 2011-7-14 17:05 0
thaldn 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	thaldn 21 楼 lz辛苦,向lz致敬 2011-7-14 22:11 0
kunsing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kunsing 22 楼不错，支持 2011-7-15 09:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复