C语言与汇编语言对照分析.docVIP

?游戏通常会包含各种各样的功能，如战斗系统、UI渲染、经济系统、生产系统等，每个系统又包含各式各样子功能，如伤害判定、施法、使用道具、角色移动、玩家之间交易等等。这些游戏功能在代码实现中往往少不了条件判断（如伤害判定）、循环（遍历物品列表，播放游戏动画）等。 ? ? ? ? ?在逆向过程中如果可以从汇编语言识别出对应的语法结构，在分析过程中将汇编代码转换为C语言语法结构，可以帮助对程序执行流程的理解。 ? 下面分别介绍最常见的逻辑语法结构： a)?if...else b)?switch...case c)?for、while 注：文中使用的反汇编工具为IDA ? 一、?if...else 汇编代码： if...else结构比较固定，通常包含cmp指令、jcc指令以及满足条件后执行的指令块。 if...else结构可以串联，串联后的if...else有明显的代码块边界，逆向工具通常可以将代码块标识出来（图中虚线）。 二、?switch...case 1.?一个简单switch...case 汇编代码： 上图显示了switch...case基本的结构：a)?跳转表达式；b)?分支代码；c)?跳转表 a)?跳转表达式 其中loc_401235代码块对应switch...case中default分支。 当nGameEvent??4时，跳转到loc_401235代码块，即default分支。 当nGameEvent?=?4时，根据跳转表达式进行跳转： jmp?????ds:off_40123C[nGameEvent*4] 其中off_40123C为跳转表地址，跳转表中每一项代表一个32位地址（4个字节），当nGameEvent为0按第一项地址跳转，当nGameEvent为1按第二项地址跳转，依次类推。 b)?分支代码 各个分支的处理逻辑都在这里，示例代码中仅仅简单的调用对应函数。（PS：这里用jmp而不用call是编译器优化的结果） c)?跳转表 跳转表实际是一个地址数组，存放了每个跳转分支的地址（32位绝对地址），当nGameEvent为0时，跳转表达式读取数组中第一项数据（0x0040121C）,即 .text:0040121C?E9?8F?FF?FF+?????jmp??????DoLogin@@YAXXZ 调用DoLogin函数。 （PS:?实际运行时，由于随机化基址，从调试器看到的跳转表内容可能与静态分析时不同，这是重定位引起的，关于重定位的原理可以参考相关文档，这里不再详述） 2.?不连续的switch...case 上面的示例中case的值是连续的，因此跳转表比较规则。在实际使用中可能会遇到不规则的case值，如下图： 汇编代码： ? 上面的代码有两个特点： i.?最小case值非0上图中最小case值为3，为了不浪费跳转表空间，编译器会将索引值减去3保证最小的case值对应跳转表中的第一项。 ii.?case值不连续编译器会在跳转表间隔中插入default跳转，保证逻辑正确。(以空间换取时间) 3.?双重跳转表 汇编代码： 相对于前一个示例，此处case值间隔更大。如果按照之前的方法，跳转表的大小需要（110-30?+?1）*?4?=?324字节，占用内存空间大。 编译器为了节省空间，使用了双重跳转：跳转表、间接跳转表。其中跳转表与之前介绍的跳转表一致，而间接跳转表保存的不是分支地址，而是索引值，指向跳转表中的索引。 跳转表： 间接跳转表： 在进入switch...case时，先算根据间接跳转表获得索引号，再根据索引号查找跳转表，获取实际分支地址。 使用双重跳转表后，实际占用空间：5*4?+（110?–?30?+?1）=?101字节，大大减少空间占用。 4.?swtich...case退化 当case值间隔过大，使用跳转表、双重跳转表消耗的空间太大，编译器会将switch...case退化为if...else，如下图： 汇编代码： 这里没有跳转表结构，只剩下cmp/jcc指令，可见编译器已经将swtich...case转换为等价的if...else。但在转换过程中，编译还是做了力所能及的优化：通过二叉查找法加快跳转分支的查找。 5.?嵌套switch...case 汇编代码： 可以看出嵌套的switch...case结构在汇编代码上是相对独立的，外层和内层switch结构有各自的跳转表。 外层跳转表： 内存跳转表（双重跳转表）： 根据跳转表中的地址项，也可以清楚的区分外层和内层的跳转分支。 三、?循环语句 a)?for循环 汇编代码： 其中nop?dword?ptr[eax+00h]?为指令对齐，没有实际意义。循环的汇编实现为： b)?while循环 汇编代码： 其中nop?dword?ptr[eax+ea