逆向工程学习第一天--一个VC6编译的小程序


Sep 11 2016

逆向工程学习第一天--一个VC6编译的小程序

首页 » 渗透测试 » 逆向工程学习第一天--一个VC6编译的小程序   

今天开始研究二进制了,开个文记录一下。下面是一个小程序的OD反汇编代码,自己尝试加了注释,本人逆向零基础,属于摸着石头过河的类型,有理解错误的地方,希望大牛不吝赐教。

源代码:

#include<stdio.h>

#include<string.h>

char name[] = "37000011111";

int main()

{

char output[8];

strcpy(output, name);

for(int i=0;i<8&&output[i];i++)

printf("\0x%x",output[i]);

return 0;

}

汇编代码:

00401000  /$  83EC 08       sub esp,0x8 //为output字符数组在栈上分配空间,以dword为单位进行分配。

00401003  |.  83C9 FF       or ecx,-0x1  //ecx设为0xFFFFFFFF准备存放字符长度。

00401006  |.  33C0          xor eax,eax  //eax清零

00401008  |.  8D5424 00     lea edx,dword ptr ss:[esp] //把output字符数组的首地址赋值给edx。

0040100C  |.  56            push esi

0040100D  |.  57            push edi

0040100E  |.  BF 30604000   mov edi,9_22.00406030 //把字符串常量的首地址赋值给edi。

00401013  |.  F2:AE         repne scas byte ptr es:[edi] //扫描edi指向的字符串是否等于al,当前al为0x00,同时累加edi和ecx。

00401015  |.  F7D1          not ecx  //ecx取反得到字符串长度。

00401017  |.  2BF9          sub edi,ecx //把edi恢复至原位,即字符串常量首地址。

00401019  |.  8BC1          mov eax,ecx //把字符串长度赋值给eax,因为下面要用ecx来控制循环。

0040101B  |.  8BF7          mov esi,edi  //把字符串常量首地址(源字符串)赋值给esi。

0040101D  |.  8BFA          mov edi,edx  //把output字符数组的首地址(目标字符串)赋值给edi。

0040101F  |.  C1E9 02       shr ecx,0x2 //修改循环计数的值,因为以DWORD为单位进行复制,所以先复制整的,剩下的不足4字节的零头再以BYTE为单位复制。

00401022  |.  F3:A5         rep movs dword ptr es:[edi],dword ptr ds:[esi] //开始复制,循环2次。

00401024  |.  8BC8          mov ecx,eax //把字符串长度还给ecx。

00401026  |.  83E1 03       and ecx,0x3 //计算零头个数,相当于除以4取余数。

00401029  |.  F3:A4         rep movs byte ptr es:[edi],byte ptr ds:[esi] //复制零头

0040102B  |.  33F6          xor esi,esi //清零esi

0040102D  |>  8A4434 08     /mov al,byte ptr ss:[esp+esi+0x8]  //这里开始循环调用printf函数了,首先把al定位至output首个字符。

00401031  |.  84C0          |test al,al //测试该字符是否为0x00.

00401033  |.  74 17         |je short 9_22.0040104C //如果为0则跳至printf下面的语句。

00401035  |.  0FBEC8        |movsx ecx,al //把al的值传递给ecx,因为源和目的操作数不等长,所以此处用movsx进行带符号扩展。

00401038  |.  51            |push ecx //把ecx入栈,准备函数调用,ecx为字符的ascii码。

00401039  |.  68 44604000   |push 9_22.00406044 //把格式字符串"\0x%x"入栈,此处可以看出函数参数由右向左入栈。

0040103E  |.  E8 1D000000   |call 9_22.00401060 //调用printf函数。

00401043  |.  83C4 08       |add esp,0x8 //调用函数之后恢复堆栈。

00401046  |.  46            |inc esi //递增指向output的指针。

00401047  |.  83FE 08       |cmp esi,0x8 //0x8为output的长度,判断是否把output中的字符已经全部输出。

0040104A  |.^ 7C E1         \jl short 9_22.0040102D //如果小于0x8,继续循环。

0040104C  |>  5F            pop edi    //恢复现场,和前面的push edi对应。

0040104D  |.  33C0          xor eax,eax  //eax清零,准备main函数的返回值。

0040104F  |.  5E            pop esi    //恢复现场,和前面的push edi对应。

00401050  |.  83C4 08       add esp,0x8  //main函数恢复堆栈平衡,这里是被调用者恢复,前面的printf是调用者恢复,为__cdecl方式,此处为__stdcall方式。

00401053  \.  C3            retn //退出main函数,返回启动函数。

 

 

如果您喜欢本博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容:

正文部分到此结束

文章标签: 逆向学习

版权声明:若无特殊注明,本文皆为( mOon )原创,转载请保留文章出处。

也许喜欢: «逆向工程学习第二天--动手开发自己的第一个shellcode | 分享一款失败的国产加密勒索软件»

你肿么看?

你还可以输入 250/250 个字

 微笑 大笑 拽 大哭 亲亲 流汗 喷血 奸笑 囧 不爽 晕 示爱 害羞 吃惊 惊叹 爱你 吓死了 呵呵

评论信息框

这篇文章还没有收到评论,赶紧来抢沙发吧~