以下的ide为CodeBlocks,编译器采用的GCC,系统为win10 64bit,在不同编译器和环境下汇编代码可能不同
现象
#include <stdio.h>
#include <stdlib.h>
int getmin(int a, int b)
{
if(a>b)
return b;
else
return a;
}
typedef int (*pfunction)(int, int);
int main()
{
int a=456789,b=123789,c=0;
pfunction pGetmin = (pfunction)getmin;
c = pGetmin(a, b);
printf("%d",c);
return 0;
}
上面这段代码是比大小输出小的,typedef int (*pfunction)(int, int);定义了一个函数指针,但是下面这段代码和上面的功能是完全一样的
#include <stdio.h>
#include <stdlib.h>
typedef int (*pfunction)(int, int);
int main()
{
int a=456789,b=123789,c=0;
unsigned char loc[] =
{
0x55, 0x89, 0xE5, 0x8B, 0x45, 0x08, 0x3B, 0x45, 0x0C, 0x7E, 0x05, 0x8B, 0x45, 0x0C, 0xEB, 0x03, 0x8B, 0x45, 0x08, 0x5D, 0xC3
};
pfunction getmin = (pfunction)&loc;
c = getmin(a, b);
printf("%d",c);
return 0;
}
原因分析
当c = pGetmin(a, b);调用pGetmin的时候,在汇编中是先call跳到一个地址然后从那个地址再jmp到函数入口地址然后开始执行函数
getmin函数整体汇编为
push ebp
mov ebp,esp
mov eax,DWORD PTR [ebp+0x8]
cmp eax,DWORD PTR [ebp+0xc]
jle <getmin+16>
mov eax,DWORD PTR [ebp+0xc]
jmp <getmin+19>
mov eax,DWORD PTR [ebp+0x8]
pop ebp
ret
通过一些调试程序(发现CodeBlocks带的汇编调试没有vc6好用,看不到硬编码)可以得出这段汇编代码在硬编码中的值为
0x55, 0x89, 0xE5, 0x8B, 0x45, 0x08, 0x3B, 0x45, 0x0C, 0x7E, 0x05, 0x8B, 0x45, 0x0C, 0xEB, 0x03, 0x8B, 0x45, 0x08, 0x5D, 0xC3
这段数据我们在第二个代码中把它存入了一个char类型的数组,它虽然在数据区,但是它还是可以看作可运行的一段函数代码,我们依旧定义一个函数指针指向这个char类型数组的入口地址,达到了和第一种相同的效果
在编程中,我们是把代码和数据分得很开的,但是在逆向和汇编中,这个区别就不明显了,在计算机中都是以数据形式存在的,你可以说它是一串数据,也可以说它是代码
转载请注明出处