反汇编系列(三)——函数篇

最新推荐文章于 2024-02-03 08:51:13 发布
最新推荐文章于 2024-02-03 08:51:13 发布
阅读量2.7k 收藏 7
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 汇编 C/C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arnozhang12/article/details/8082755
本文探讨了汇编语言中的函数调用机制,包括call指令、enter/leave/ret系列指令的使用,并通过实例解析了__stdcall和__cdecl调用约定的区别。同时,分析了具有返回值的函数在堆栈中的处理方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

汇编中的函数调用我们需要着重讲述一下。一般我们用 call 发起调用,最后需要用 ret/retn/retf 来返回。我们逐个来看汇编中的函数调用。


1、相关指令

  • call  ADDRESS:
发起调用,根据 ADDRESS 的地址决定是发起段内调用还是段间调用。当是段内调用时,将 eip 入栈,然后 jmp 到 ADDRESS 处;当是段间调用时,将 cs、eip 依次入栈,然后 jmp 到 ADDRESS 处。
  • enter:
进行堆栈准备工作,将 ebp 原来的内容入栈,将当前 esp 存入 ebp。相当于: 
push	ebp
mov		ebp,	esp
  • leave:
恢复堆栈,是 enter 指令的逆向操作,如你所想: 
mov		esp,	ebp
pop		ebp
  • retn  [NUMBER]:
段内返回,不带 [] 内的 NUMBER 时,表示是无参的函数调用或者 __cdecl 调用约定,当有 NUMBER 时,返回后将 esp 的值加 NUMBER,表示将入栈的参数全部出栈,一般是 __stdcall 调用约定。作用如下: 
pop		eip
add		esp,	NUMBER
  • retf  [NUMBER]:
段间返回,后面的 NUMBER 含义和 retn 的一样,只是出栈时还要将 cs 出栈,如下: 
pop		eip
pop		cs
add		esp,	NUMBER
  • ret   [NUMBER]:
是 leave 和 retn 的结合体,恢复堆栈后返回。NUMBER 的含义和 retn 的含义一样: 
leave
retn	NUMBER

2、函数堆栈

当我们发起函数调用时,当函数准备好堆栈时堆栈的内容是什么样的呢?用个例子一探究竟。

HWND GetHWndByClassName(LPCWSTR lpszClsName)
{
	HWND hWnd = NULL;
	hWnd = ::FindWindowW(lpszClsName, NULL);
	return hWnd;
}

HWND hTrayWnd = GetHWndByClassName(L"Shell_TrayWnd);
比如我们有这样一段简单的代码,那么它未优化的汇编代码如下: 

.data
__str_Shell_Tray_Wnd	db	'Shell_TrayWnd', 0


.code

; ....
; HWND GetHWndByClassName(LPCWSTR)

GetHWndByClassName proc near

loc_hWnd	= dword ptr -4h
lpszClsName	= dword ptr 8

	; 准备堆栈
	push	ebp
	mov		ebp,	esp
	
	; 为局部变量分配内存
	sub		esp,	4
	
	; 保存寄存器
	push	ebx
	push	esi
	push	edi
	xor		esi,	esi
	
	; 调用 FindWindowW
	mov		eax,	[ebp + lpszClsName]
	push	eax
	call	ds:FindWindowW
	
	; 将 FindWindowW 返回值保存到局部变量
	mov		[ebp + loc_hWnd],	eax
	
	; 清场
	leave
	retn	4
GetHWndByClassName endp


; 调用 GetHWndByClassName 的地方
push	offset	__str_Shell_Tray_Wnd
call	GetHwndByClassName
mov		[ebp + loc_hTrayWnd],	eax

在函数 GetHWndByClassName中,堆栈明细如下:




如你所见,一个__stdcall 调用约定下的汇编函数一般的结构都是这样:

__My_Proc proc near

loc_var_n	dword ptr -LOC_BYTES
..
loc_var_2	dword ptr -8h
loc_var_1	dword ptr -4h
param_1		dword ptr 8h
param_2		dword ptr 0Ch
...
param_n		dword ptr PARAM_BYTES

	; 函数体开始
	; 准备堆栈
	push	ebp
	mov		ebp,	esp
	
	; 为局部变量分配内存
	sub		esp,	LOC_BYTES
	
	; 保存寄存器
	push	ebx
	push	esi
	push	edi
	xor		esi,	esi
	
	; 函数正文
	; ...
	; ...
	
	; 函数清场
	leave
	retn	PARAM_BYTES
__My_Proc endp

函数的第一个参数的偏移是  8h,第二个参数的偏移是 (8h + 第一个参数字节大小)……依次类推。函数的第一个局部变量的偏移是 -4h,第二个局部变量的偏移是 (-4h - 第一个局部变量的字节大小)……依次类推。

3、__cdecl 调用约定

当函数是__cdecl 调用约定时,函数会怎么样呢?比如我们有一个函数:

void __cdecl foo(int a, int b)
{
	// ...
}

foo(89, 24);

那么,它的汇编代码将如下:

_foo proc near

param_b	= dword ptr -8
param_a	= dword ptr -4

	enter

	; ...
	
	leave
	retn
_foo endp


; 调用 foo
push	24
push	89
call	_foo

; 调用者平衡堆栈
add		esp,	8

可以看到,对于 __cdecl 调用约定的函数 foo,最后的返回 retn 后不加任何数值,在调用房执行完 call 后,再将 esp 加上所有传递参数的总字节数大小。所以,在逆向过程中,如果你看到一个 call 后紧接着有 add esp, NUMBER 的操作,基本可以断定被调的这个函数是 __cdecl 调用约定。

4、函数返回值

那么,当函数具有返回值时,堆栈又是如何呢?对于具有返回值的函数,一般有两种情况。

  • 返回值小——可以用 eax 存储
对于这种情况,将直接将返回值存储到 eax 中。调用完函数后,调用者直接从 eax 中取值。如: 
int getInteger()
{
	int retVal = 0;
	scanf("%d", &retVal);
	return retVal;
}

int myAge = getInteger();
printf("%d\n", myAge);
它的未经优化的汇编代码将如下所示: 
.data
__str_Scanf_d	db	'%d', 0
__str_Printf_d	db	'%d\n', 0


.code

getInteger proc near

loc_retVal	= dword ptr -4

	; 准备堆栈
	push	ebp
	mov		ebp,	esp
	sub		esp,	4
	
	; retVal 置0
	xor		eax,	eax
	mov		[ebp + loc_retVal],	eax

	; 调用 scanf
	lea		eax,	[ebp + loc_retVal]
	push	eax
	push	offset __strScanf_d
	call	_scanf
	
	; 平衡 __cdecl 调用约定的 scanf 函数堆栈
	add		esp,	8
	
	; 将返回值保存在 eax 中
	mov		eax,	[ebp + loc_retVal]
	
	; 返回
	retn
getInteger endp


; 调用 getInteger
loc_myAge	= dword ptr -4

	call	getInteger
	mov		[ebp + loc_myAge],	eax
	
	; 执行 printf
	mov		eax,	[ebp + loc_myAge]
	push	eax
	push	offset __str_Printf_d
	call	_printf
	
	; 平衡 __cdecl 调用堆栈
	add		esp,	8
  • 返回值是结构体
对于返回值是结构体或类的函数,处理过程可能不一样。一般来说,汇编代码会将取返回值的指针加到参数中最后入栈,最后将这个返回值指针保存到 eax 中返回。如下: 
struct CFoo
{
	int		m_val;
	HICON	m_hIcon;
	char*	m_szName;
};


CFoo getFoo(char* lpszName)
{
	CFoo tmp;
	scanf("%d", &tmp.m_val);
	tmp.m_hIcon = 0;
	tmp.m_szName = lpszName;
	
	return tmp;
}

int main()
{
	CFoo foo = getFoo("foo_Name");
	printf("%d, %s", foo.m_val, foo.m_szName);
	return 0;
}
未优化汇编代码如下: 
.data

__str_Foo_Name	db	'foo_name', 0
__str_Scanf_d	db	'%d', 0
__str_Printf	db	'%d, %s', 0


.code

getFoo proc near

tmp_offset		= dword ptr -0Ch
tmp_m_val		= dword ptr -0Ch
tmp_m_hIcon		= dword ptr -8
tmp_m_szName	= dword ptr -4
ptr_retValue	= dword ptr 8
param_lpszName	= dword ptr 0Ch

	push	ebp
	mov		ebp,	esp
	sub		esp,	0ch
	
	push	esi
	push	ecx
	
	lea		eax,	[ebp + tmp_m_val]
	push	eax
	push	offset __str_Scanf_d
	call	_scanf
	add		esp,	8
	
	mov		[ebp + tmp_m_hIcon], 0
	mov		eax,	[ebp + tmp_m_va;]
	mov		ecx,	[ebp + param_lpszName]
	mov		esi,	[ebp + tmp_m_hIcon]
	
	; 将结果存入返回值
	mov		edx,	[ebp + ptr_retValue]
	mov		[edx],	eax
	mov		[edx + 4],	esi
	mov		[edx + 8], ecx
	
	; 将返回值地址存入eax
	mov		eax,	[ebp + ptr_retValue]
	
	pop		ecx
	pop		esi
	mov		esp,	ebp
	pop		ebp
	retn
getFoo endp


main proc near

loc_foo		= dword ptr -0Ch

	; ...
	
	; 参数入栈
	push	offset	__str_Foo_Name
	
	; 返回值结构体地址入栈
	lea		eax, [ebp + loc_foo]
	push	eax
	
	; 函数调用
	call	getFoo
	add		esp,	8
	
	; 其他操作
	; ...
	
main endp
通过示例可以看到,对于返回值是结构体的函数,先将参数入栈,最后将存放返回值的结构体地址入栈,最终在该函数中赋值完毕后,将该返回值存入 eax 并返回。

当然,这只是未经优化的汇编代码,比较容易理解。在大部分的逆向过程中,你得面对经过优化的代码,相信我,那里面的逻辑将非常复杂,所以,你必须具有非常扎实的汇编基础。下一篇将通过一个实际示例从头到尾利用 IDA Pro 来展示如何逆向分析。














X86-64和ARM64用户栈的结构 (3) ---_start到__libc_start_main
weixin_34417635的博客
08-07 914
1 x86-64 本节主要核心是介绍x86-64体系结构下的_start函数,该函数是由x86-64汇编写成;调用__libc_start_main函数向其传递参数。因此需要先了解一些x86-64的栈帧结构、寄存器、以及参数传递规则。 1.1 栈帧(Stack Frame) Linux使用System V Application Binary Interface的函数调用规则。在《System V...
函数反汇编
云淡风轻
05-01 1832
内容如题。将函数反汇编后看看都有些什么东西。。。代码如下:void f() { int j; j = 0xfffffff; } void main() { int i; i = 0xeeee; f(); } 上面这个代码简单的不能再简单了吧。这里主要分析一下函数f()的代码(main的很类似,注意是类似不是相同)void f() { 0042D680 push ebp 0042D681 mov ebp,esp 0042D683
反汇编深入分析函数调用
04-13 1833
函数:int fun(int a, int b) {   char var[128] = "A";   a = 0x4455;   b = 0x6677;   return a + b;}int main() {    fun(0x8899,0x1100);    return 0;}F11跟踪到fun,alt+8看反汇编代码:00401078  
函数调用反汇编
distancening的博客
10-28 522
windows堆栈:向低地址扩展。 堆栈平衡: windows堆栈就是一块普通的内存,主要用来存储一些临时数据和参数等,可以想象成一个公共的箱子,大家都会用,每个人用完都要使它和用之前一样。main函数中的调用:0100176E 6A 02 push 2 01001770 6A 01 push 1
反汇编C语言的函数
leolinux的专栏
09-30 590
objdump -D main > dump.txt | grep function
全国各地中考试题分类汇编——反比例函数.pdf
02-16
《全国各地中考试题分类汇编——反比例函数》是一份集合了多个地区中考数学试题的资料,主要聚焦于反比例函数这一核心概念。反比例函数是初中数学中的重要知识点,其一般形式为 \( y = \frac{k}{x} \),其中 \( k \)...
高考数学试题分类汇编02——函数与导数1.doc
09-28
5. **反函数的求解**:第五题同样考察反函数,需要通过变形找到原函数与反函数的关系,选择正确的反函数形式。 6. **对数函数的性质**:第六题涉及对数函数的性质,比较对数值的大小,需要理解对数函数的单调性。 ...
全国各地中考试题分类汇编——反比例函数.docx
11-17
这里提供的文件是一个关于反比例函数的中考试题汇编,涵盖了多个省份的中考真题,让我们通过这些题目来深入理解反比例函数的关键知识点。 1. 反比例函数的定义:反比例函数通常形式为 `y = k/x`,其中 `k` 是常数,...
2017年上海高一模汇编——函数.docx
10-05
函数零点 函数的零点是指使得函数值等于零的自变量的值。解方程相当于找函数的零点,如第9、10题,涉及到求解函数零点的个数问题。 四、周期函数 周期函数是满足f(x + T) = f(x)函数,其中T是周期。第16题中...
反汇编系列(二)——堆栈
牧秦丶
10-17 3152
反汇编程序,不可避免要接触到堆栈,你首先得会查看堆栈,知道堆栈在某一时刻的确切内容。首先,我们讲述一些与堆栈相关的基础知识。 1、堆栈基础     汇编语言中的“堆栈”的含义与数据结构中堆栈的含义不同,尽管从操作上来说,它们都是“后进先出”,这个不用赘述。汇编中有一个寄存器esp指向当前栈顶,而栈底的位置是不变的,整个程序运行过程中,通过操作esp来操作堆栈,进行堆栈的压入、弹出及平
反汇编代码之函数的调用
最新发布
weixin_40105208的博客
02-03 512
push ebp ; mov ebp ,esp ; sub esp,xxx;
C++ 反汇编函数与结构体
CSDN
04-22 9174
函数是任何一个高级语言中必须要存在的一个东西,使用函数式编程可以让程序可读性更高,充分发挥了模块化设计思想的精髓,今天我将带大家一起来探索函数的实现机理,探索编译器到底是如何对函数这个关键字进行实现的,从而更好地理解编译行为。
反汇编中生成的函数
pl2597758的专栏
05-14 501
BOOL VirtualFree(   LPVOID lpAddress,   // 区域地址   SIZE_T dwSize,      // 区域大小   DWORD dwFreeType    // 类型 );说明该函数的功能是取消或者释放调用进程的虚地址空间页的一个区域 如果想释放一块调用VirtualAllocEx函数分配的内存(包括虚拟内存),就使用VirtualFreeEx函
C语言函数反汇编
qq_20254219的博客
03-24 4460
C语言函数反汇编 ​ 从反汇编的角度,看C是怎么创建函数的。在创建函数的过程中系统做了哪些准备,数据被存放在那里,又是如何完成函数操作的,参数与局部变量在底层硬件中又是怎么流动的? 函数的创建与堆栈操作密切相关 空函数函数 带参函数 无参、有局部变量的函数 带参且有局部变量的函数 ​ 分别从这些函数入手,查看反汇编代码,发现异同,从而加深C语言函数定义的正向理解,以及函数反汇编代码。 空函数与主函数: //空函数与主函数 #include "stdio.h" void Plus(){ }
反汇编之简单函数调用
技术点滴记录
10-10 2807
简单的函数调用,通过反汇编可以清楚了解 举例:#include int add(int a,int b){ int c=0; c=a+b; return c;}int main(void){ int x=0; int y=3; int z=4; x=add(y,z); return 0;
反汇编 之最简函数
xiaozhi
01-07 446
#include <stdio.h> int function() { return 123; } void main() { } #if 0 /* * intel */ 0000000000000000 <function>: 0: f3 0f 1e fa endbr64 4: 55 push %rbp 5: 48 89 e...
一个简单函数反汇编分析
chenghuo9876的博客
07-21 192
利用visual studio的反汇编功能,可以看到函数调用的汇编语言。 一个简单函数反汇编分析 int__stdcalladd(inta,intb,intc) { 00FD13C0pushebp...
反汇编系列() 基本函数调用
能哥的专栏
01-09 1562
#include"stdio.h" int function(int a,int b) { int c=a+b; return c; } void main() { function(1,2); getchar(); } --- c:\users\wangchao\desktop\test\test\main.cp
反汇编代码分析--函数调用
tangzhilinhk的专栏
07-21 1679
分类: VC Linux 2010-12-01 14:16 1681人阅读 评论(2) 收藏 举报 汇编代码分析框架编译器applicationsolaris C++反汇编代码分析--函数调用 代码如下:     #include "stdlib.h"     int sum(int a,int b,int m,int n)     {          retu
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值