[求助]逆向一个涵数有些不解,请指导下-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]逆向一个涵数有些不解,请指导下

发表于: 2007-11-7 17:55 11061

[求助]逆向一个涵数有些不解,请指导下

njmdk

2007-11-7 17:55

11061

如下
.text:00493370 sub_493370    proc near             ; CODE XREF: sub_445D00+90p
.text:00493370                                        ; sub_445D00+9Ep ...
.text:00493370
.text:00493370 var_C          = dword ptr -0Ch
.text:00493370 var_4          = dword ptr -4
.text:00493370
.text:00493370                mov    eax, large fs:0
.text:00493376                mov    cl, byte ptr dword_A75DA0
.text:0049337C                push 0FFFFFFFFh
.text:0049337E                push offset loc_60B26E
.text:00493383                push eax
.text:00493384                mov    eax, 1
.text:00493389                test cl, al
.text:0049338B                mov    large fs:0, esp
.text:00493392                jnz    short loc_4933BA
.text:00493394                or    dword_A75DA0, eax
.text:0049339A                push eax
.text:0049339B                mov    ecx, offset unk_A75D10
.text:004933A0                mov    [esp+10h+var_4], 0
.text:004933A8                call sub_4932E0
.text:004933AD                push offset sub_8F7140 ; void (*)(void)
.text:004933B2                call _atexit
.text:004933B7                add    esp, 4
.text:004933BA
.text:004933BA loc_4933BA:                            ; CODE XREF: sub_493370+22j
.text:004933BA                mov    ecx, [esp+0Ch+var_C]
.text:004933BD                mov    eax, offset unk_A75D10
.text:004933C2                mov    large fs:0, ecx
.text:004933C9                add    esp, 0Ch
.text:004933CC                retn
.text:004933CC sub_493370    endp

可能是太菜的原因,反复看了这段代码 mov    eax, large fs:0 可能是传说中的异常处理吧
涵数似乎是判断地址byte ptr dword_A75DA0 的字节是否为本,如果为0就 or    dword_A75DA0, eax把这个字节置为1,然后进行一些必要的类似初始化(猜的),加之有异常,分析起来晕呼晕呼,不知道我对这涵数的理解是否正确,请指点下

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

收藏・1

免费・7

支持

最新回复 (17)
linxer 雪币： 1746 活跃值： (287) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 164 粉丝 21 关注私信	linxer 11 2 楼从这行看可能是一个类对象,因为设置ecx后并没有直接使用,而是调用了一个函数 text:0049339B mov ecx, offset unk_A75D10 class_type fun() { static class_type _IDonotKnowName; int nTemp = -1; char _cl = dword_A75DA0; //这个变量用于控制静态对象只初始化(构造)一次 try { if(0 == (_cl & 0x01)) { dword_A75DA0 \|= 1; nTemp = 0; _IDonotKnowName.class_type::class_type(0); //调用构造函数(call sub_4932E0) _atexit(sub_8F7140); //这个是保证静态对象在程序结束时要析构 } } catch(...) { call loc_60B26E; } return _IDonotKnowName; } 至于怎么抛出异常,偶就不知道了,代码里看不出来还有就是上面代码中的那个nTemp我也没明白为什么会有这个,不知道是作者代码中的东西,还是编译器搞上去有特殊用途的作者真实的代码可能是 class_type fun() { static class_type _IDonotKnowName(0); return _IDonotKnowName; } 其它的都是编译器加上去的 2007-11-7 22:42 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 3 楼不知道的还以为你买了asm2c插件了。 2007-11-7 22:56 0
linxer 雪币： 1746 活跃值： (287) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 164 粉丝 21 关注私信	linxer 11 4 楼刚搞来的,这是处女试 2007-11-7 23:10 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 5 楼向cn学习。 2007-11-7 23:14 0
wangdell 雪币： 87 活跃值： (47) 能力值： ( LV12，RANK：250 ) 在线值：发帖 52 回帖 328 粉丝 3 关注私信	wangdell 6 6 楼 !!!厉害，厉害呵呵，只写一个厉害，系统竟然不让发贴。 2007-11-8 00:16 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 7 楼 --- f:\projects\classlearning2\classlearning2\classlearning2.cpp --------------- // ClassLearning2.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" class StaticClass { public : StaticClass(int i) 00401000 push ecx 00401001 push esi 00401002 mov esi,ecx { __asm {mov eax,eax} 00401004 mov eax,eax StaticClass(1); 00401006 push 1 00401008 lea ecx,[esp+0Bh] 0040100C call StaticClass::StaticClass (401000h) } 00401011 mov eax,esi 00401013 pop esi 00401014 pop ecx 00401015 ret 4 --- 无源文件 ----------------------------------------------------------------------- 00401018 int 3 00401019 int 3 0040101A int 3 0040101B int 3 0040101C int 3 0040101D int 3 0040101E int 3 0040101F int 3 --- f:\projects\classlearning2\classlearning2\classlearning2.cpp --------------- ~StaticClass() { } }; StaticClass * Test() { 00401020 mov eax,dword ptr fs:[00000000h] 00401026 push 0FFFFFFFFh 00401028 push offset __ehhandler$?Test@@YAPAVStaticClass@@XZ (40186Eh) 0040102D push eax static StaticClass myclass(1); 0040102E mov eax,1 00401033 mov dword ptr fs:[0],esp 0040103A test byte ptr [$S1 (40337Ch)],al 00401040 jne Test+48h (401068h) 00401042 or dword ptr [$S1 (40337Ch)],eax 00401048 push eax 00401049 mov ecx,offset myclass (403378h) 0040104E mov dword ptr [esp+0Ch],0 00401056 call StaticClass::StaticClass (401000h) 0040105B push offset `Test'::`2'::`dynamic atexit destructor for 'myclass'' (401880h) 00401060 call atexit (40112Dh) 00401065 add esp,4 try { }catch(...) { } return &myclass; } 00401068 mov ecx,dword ptr [esp] 0040106B mov eax,offset myclass (403378h) 00401070 mov dword ptr fs:[0],ecx 00401077 add esp,0Ch 0040107A ret --- 无源文件 ----------------------------------------------------------------------- 0040107B int 3 0040107C int 3 0040107D int 3 0040107E int 3 0040107F int 3 --- f:\projects\classlearning2\classlearning2\classlearning2.cpp --------------- int _tmain(int argc, _TCHAR* argv[]) { Test(); 00401080 call Test (401020h) return 0; 00401085 xor eax,eax } 00401087 ret 从以上代码看的出来要达到这个编译优化构造函数应该是传得1 如果在默认优化设置下且也不是返回一个对象而是这个对象的指针。因为如果是对象会调用拷贝函数 VC8 Release 编译 LZ的代码应该是VC6的默认没有 ESP CHECK 2007-11-8 01:04 0
njmdk 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	njmdk 8 楼真是谢谢楼上 linxer 以及 foxabu的代码和指点,我最喜欢就是看用代码来解释,很详细,我慢慢消化消化^o^ 还有感谢十三上次给我的代码,让我受益非浅还有个问题对于 .text:00493370 var_C = dword ptr -0Ch .text:00493370 var_4 = dword ptr -4 看似乎是这个涵数中使用的局部变量,但是汇编代码中并没有看到类似 sub esp,0ch 之类的东西,怎么理解这种情况呢 2007-11-8 01:43 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 9 楼 .text:0049337C push 0FFFFFFFFh .text:0049337E push offset loc_60B26E .text:00493383 push eax 2007-11-8 01:56 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 10 楼一个是普通变量，另一个被SHE拿去用了。 so int nTemp = -1;这句是没必要写的，因为是编译器生成的。 2007-11-8 08:37 0
njmdk 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	njmdk 11 楼对于这局部变量基本懂了,虽然没用类似 sub esp,0ch 显式申明,但几个push实际上已经是在申明的同时初试话这些变量了,嘿嘿又长见识了 2007-11-8 11:10 0
linxer 雪币： 1746 活跃值： (287) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 164 粉丝 21 关注私信	linxer 11 12 楼这个帖子被加精了,偶就再说两句吧,让它完美点 .text:0049337C push 0FFFFFFFFh .text:0049337E push offset loc_60B26E .text:00493383 push eax 这三行代码是vc SEH异常处理用的,昨天晚上看的时候按标准的异常处理项了,就多出一个nTemp = -1了, 这是一个阔展了的SEH异常处理项 sub esp,0ch 就是跟上面三行代码对着来的罗云彬的win32汇编里和看雪的软件加密技术内幕里都有详尽论述 2007-11-8 15:21 0
kanxue 雪币： 47147 活跃值： (20415) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 13 楼操作失误，应是设置优秀帖，己纠正过来了。 2007-11-8 15:38 0
njmdk 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	njmdk 14 楼看见精心里还扑嗵扑嗵了半天,刚煮熟的鸭子又飞了,下次多煮几只 2007-11-8 16:09 0
12321 雪币： 267 活跃值： (1893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	12321 15 楼十三少也喜欢SHE啊? 2007-11-9 14:22 0
当哩个当雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	当哩个当 16 楼我也喜欢SHE 2007-11-9 14:39 0
Kendiv 雪币： 230 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 106 粉丝 0 关注私信	Kendiv 17 楼 why not try to hex-rays? 2007-12-8 22:29 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 18 楼 LZ发帖的时候还没有免费版的 2007-12-9 00:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

njmdk

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
linxer 雪币： 1746 活跃值： (287) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 164 粉丝 21 关注私信	linxer 11 2 楼从这行看可能是一个类对象,因为设置ecx后并没有直接使用,而是调用了一个函数 text:0049339B mov ecx, offset unk_A75D10 class_type fun() { static class_type _IDonotKnowName; int nTemp = -1; char _cl = dword_A75DA0; //这个变量用于控制静态对象只初始化(构造)一次 try { if(0 == (_cl & 0x01)) { dword_A75DA0 \|= 1; nTemp = 0; _IDonotKnowName.class_type::class_type(0); //调用构造函数(call sub_4932E0) _atexit(sub_8F7140); //这个是保证静态对象在程序结束时要析构 } } catch(...) { call loc_60B26E; } return _IDonotKnowName; } 至于怎么抛出异常,偶就不知道了,代码里看不出来还有就是上面代码中的那个nTemp我也没明白为什么会有这个,不知道是作者代码中的东西,还是编译器搞上去有特殊用途的作者真实的代码可能是 class_type fun() { static class_type _IDonotKnowName(0); return _IDonotKnowName; } 其它的都是编译器加上去的 2007-11-7 22:42 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 3 楼不知道的还以为你买了asm2c插件了。 2007-11-7 22:56 0
linxer 雪币： 1746 活跃值： (287) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 164 粉丝 21 关注私信	linxer 11 4 楼刚搞来的,这是处女试 2007-11-7 23:10 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 5 楼向cn学习。 2007-11-7 23:14 0
wangdell 雪币： 87 活跃值： (47) 能力值： ( LV12，RANK：250 ) 在线值：发帖 52 回帖 328 粉丝 3 关注私信	wangdell 6 6 楼 !!!厉害，厉害呵呵，只写一个厉害，系统竟然不让发贴。 2007-11-8 00:16 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 7 楼 --- f:\projects\classlearning2\classlearning2\classlearning2.cpp --------------- // ClassLearning2.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" class StaticClass { public : StaticClass(int i) 00401000 push ecx 00401001 push esi 00401002 mov esi,ecx { __asm {mov eax,eax} 00401004 mov eax,eax StaticClass(1); 00401006 push 1 00401008 lea ecx,[esp+0Bh] 0040100C call StaticClass::StaticClass (401000h) } 00401011 mov eax,esi 00401013 pop esi 00401014 pop ecx 00401015 ret 4 --- 无源文件 ----------------------------------------------------------------------- 00401018 int 3 00401019 int 3 0040101A int 3 0040101B int 3 0040101C int 3 0040101D int 3 0040101E int 3 0040101F int 3 --- f:\projects\classlearning2\classlearning2\classlearning2.cpp --------------- ~StaticClass() { } }; StaticClass * Test() { 00401020 mov eax,dword ptr fs:[00000000h] 00401026 push 0FFFFFFFFh 00401028 push offset __ehhandler$?Test@@YAPAVStaticClass@@XZ (40186Eh) 0040102D push eax static StaticClass myclass(1); 0040102E mov eax,1 00401033 mov dword ptr fs:[0],esp 0040103A test byte ptr [$S1 (40337Ch)],al 00401040 jne Test+48h (401068h) 00401042 or dword ptr [$S1 (40337Ch)],eax 00401048 push eax 00401049 mov ecx,offset myclass (403378h) 0040104E mov dword ptr [esp+0Ch],0 00401056 call StaticClass::StaticClass (401000h) 0040105B push offset `Test'::`2'::`dynamic atexit destructor for 'myclass'' (401880h) 00401060 call atexit (40112Dh) 00401065 add esp,4 try { }catch(...) { } return &myclass; } 00401068 mov ecx,dword ptr [esp] 0040106B mov eax,offset myclass (403378h) 00401070 mov dword ptr fs:[0],ecx 00401077 add esp,0Ch 0040107A ret --- 无源文件 ----------------------------------------------------------------------- 0040107B int 3 0040107C int 3 0040107D int 3 0040107E int 3 0040107F int 3 --- f:\projects\classlearning2\classlearning2\classlearning2.cpp --------------- int _tmain(int argc, _TCHAR* argv[]) { Test(); 00401080 call Test (401020h) return 0; 00401085 xor eax,eax } 00401087 ret 从以上代码看的出来要达到这个编译优化构造函数应该是传得1 如果在默认优化设置下且也不是返回一个对象而是这个对象的指针。因为如果是对象会调用拷贝函数 VC8 Release 编译 LZ的代码应该是VC6的默认没有 ESP CHECK 2007-11-8 01:04 0
njmdk 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	njmdk 8 楼真是谢谢楼上 linxer 以及 foxabu的代码和指点,我最喜欢就是看用代码来解释,很详细,我慢慢消化消化^o^ 还有感谢十三上次给我的代码,让我受益非浅还有个问题对于 .text:00493370 var_C = dword ptr -0Ch .text:00493370 var_4 = dword ptr -4 看似乎是这个涵数中使用的局部变量,但是汇编代码中并没有看到类似 sub esp,0ch 之类的东西,怎么理解这种情况呢 2007-11-8 01:43 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 9 楼 .text:0049337C push 0FFFFFFFFh .text:0049337E push offset loc_60B26E .text:00493383 push eax 2007-11-8 01:56 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 10 楼一个是普通变量，另一个被SHE拿去用了。 so int nTemp = -1;这句是没必要写的，因为是编译器生成的。 2007-11-8 08:37 0
njmdk 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	njmdk 11 楼对于这局部变量基本懂了,虽然没用类似 sub esp,0ch 显式申明,但几个push实际上已经是在申明的同时初试话这些变量了,嘿嘿又长见识了 2007-11-8 11:10 0
linxer 雪币： 1746 活跃值： (287) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 164 粉丝 21 关注私信	linxer 11 12 楼这个帖子被加精了,偶就再说两句吧,让它完美点 .text:0049337C push 0FFFFFFFFh .text:0049337E push offset loc_60B26E .text:00493383 push eax 这三行代码是vc SEH异常处理用的,昨天晚上看的时候按标准的异常处理项了,就多出一个nTemp = -1了, 这是一个阔展了的SEH异常处理项 sub esp,0ch 就是跟上面三行代码对着来的罗云彬的win32汇编里和看雪的软件加密技术内幕里都有详尽论述 2007-11-8 15:21 0
kanxue 雪币： 47147 活跃值： (20415) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 13 楼操作失误，应是设置优秀帖，己纠正过来了。 2007-11-8 15:38 0
njmdk 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	njmdk 14 楼看见精心里还扑嗵扑嗵了半天,刚煮熟的鸭子又飞了,下次多煮几只 2007-11-8 16:09 0
12321 雪币： 267 活跃值： (1893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	12321 15 楼十三少也喜欢SHE啊? 2007-11-9 14:22 0
当哩个当雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	当哩个当 16 楼我也喜欢SHE 2007-11-9 14:39 0
Kendiv 雪币： 230 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 106 粉丝 0 关注私信	Kendiv 17 楼 why not try to hex-rays? 2007-12-8 22:29 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 18 楼 LZ发帖的时候还没有免费版的 2007-12-9 00:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复