崩溃分析用到的一些汇编语言技巧

sonilics — Fri, 07 Jan 2011 12:19:00 GMT

常用寄存器

寄存器	名称	常见用途（未完）
eax	累加器（Accumulator）	函数返回值
ebx	基址寄存器（Base）	可作为存储指针来使用
ecx	计数器（Counter）	在循环和字符串操作时，用来控制循环次数 __thiscall中传递this指针
edx	数据寄存器（Data）
esp	堆栈指针寄存器（Stack）
ebp	基地址指针寄存器（Base）
esi	源地址寄存器（Source Index）
edi	目的地址寄存器（Destination）

常用汇编指令

push	把一个32位的操作数压入堆栈，这个操作会导致esp减4.
pop	与push相反，esp加4，一个数据出栈
call	调用函数。将下一条指令的地址压栈，然后跳转到所调用函数的开始处，本质相当于push+jump
ret	与call相对应，跳转到栈顶数据所指的地址，本质相当于pop+jump。对于_cdecl 调用的函数，通常会在ret之后进行exp-[n]，用于清理调用参数堆栈
xor	异或，常用于清零操作，例如： xor eax eax
lea	取得地址（第二个参数）后放入前面的寄存器中。
stosw	将eax中的数据传送给edi，之后edi+4。常与rep一起使用，用于初始化内存段
rep	当eax>0时，重复后面的指令
jp,jl,jge	根据eax中值与0的关系跳转
cmp	比较指令，将结果放入eax中，往往是jp，jl，jge之类跳转指令的执行条件

函数调用规则

调用方式	简要说明	堆栈清理	参数传递规则
_cdecl	C 编译器的默认调用规则	Caller	从右到左
_stdcall	又称为WINAPI	Callee	从右到左
__thiscall	C++成员函数调用方式	Callee	this放入ecx，其他从右到左
__fastcall		Callee	前两个等于或者小于DWORD大小的参数放入ecx和edx,其他参数从右到左

_cdecl调用通常的asm代码：

被调用方:
1.保存ebp。ebp总是用来保存这个函数执行之前的esp值。执行完毕之后，我们用ebp回复esp；同时，调用此函数的上层函数也用ebp做同样的事情。
2.保存esp到ebp中。

;保存ebp，并把esp放入ebp中，此时ebp与esp都为这次函数调用的栈顶
push ebp
mov  ebp,esp

3.在堆栈中预留一个区域用于保存局部变量。方法是将esp减少一个数值，这样就等于压入了一堆变量。要恢复的时候直接把esp回复成ebp保存的数据就可以了。
4.保存ebx、esi、edi到堆栈中，函数调用完成后恢复。

;把esp往下移动一个范围，等于在堆栈中预留一片新的空间来保存局部变量
sub  esp,010h
push ebx
push esi
push edi

5.（debug版）把局部变量全部初始化为0xcccccccch.

;将保存局部变量的区域全部初始化为0xcccccccch
lea  edi,[ebp-010h]
mov  ecx,33h
mov  eax,0xcccccccch
rep  stos dword ptr [edi]

6.然后执行函数的具体逻辑。传入参数的获取为：ebp+4为函数的返回地址；ebp+8为第一个参数，ebp+12为第二个参数，以此类推。

7.回复ebx、esi、edi、esp、ebp，最后返回。如果有返回值，在返回之前将保存在eax中，供调用方式用。

pop  edi ;恢复edi、esi、ebx
pop  esi
pop  ebx
mov  esp, ebp ;恢复原来的ebp和esp
pop  ebp
ret

调用方：

mov  eax,dword ptr [b]
push eax
move ecx,dword ptr [a]
push ecx
call myfunction
add  esp,8              ;回复堆栈

常见的基础代码结构

for循环

    for(int i = 0; i < 20; ++i )
0040B93E  mov         dword ptr [i],0 
0040B945  jmp         wmain+30h (40B950h) 
0040B947  mov         eax,dword ptr [i] 
0040B94A  add         eax,1 
0040B94D  mov         dword ptr [i],eax 
0040B950  cmp         dword ptr [i],14h 
0040B954  jge         wmain+38h (40B958h) 
    {

    }
0040B956  jmp         wmain+27h (40B947h) 

可以看到主循环主要由这么几条指令来实现：mov进行初始化；jmp跳过修改循环变量的代码；cmp实现跳转判断；jge根据条件跳转。用jmp回到修改循环变量的代码进行下一次循环。大体结构如下：

    mov  <循环变量>,<初始值>     ;给循环变量赋值
    jmp  A                     ;跳到第一次循环处
A:     (改动循环变量)            ;修改循环变量
    
B：  cmp  <循环变量>,<限制变量>   ;检查循环变量
    jge  跳出循环
    (循环体)
    
    jmp  A                     ;跳回修改循环变量

do循环

    int i = 0;
0040B93E  mov         dword ptr [i],0 
    do 
    {
        ++i;
0040B945  mov         eax,dword ptr [i] 
0040B948  add         eax,1 
0040B94B  mov         dword ptr [i],eax 
    } while (i<10);
0040B94E  cmp         dword ptr [i],0Ah 
0040B952  jl          wmain+25h (40B945h) 

上面的do循环就是用一个简单的条件比较指令跳转回去：

cmp  <循环变量><限制变量>
jl   <循环开始>

while循环

int i = 0;
0040B93E  mov         dword ptr [i],0 
    while (i<10)
0040B945  cmp         dword ptr [i],0Ah 
0040B949  jge         wmain+36h (40B956h) 
    {
        ++i;
0040B94B  mov         eax,dword ptr [i] 
0040B94E  add         eax,1 
0040B951  mov         dword ptr [i],eax 
    }
0040B954  jmp         wmain+25h (40B945h) 

while要复杂一些，因为wile除了开始的时候判断循环条件之外，后面还要有一条无条件跳转指令：

A:  cmp  <循环变量>,<限制变量>
    jge  B
    (循环体)
    
    jmp  A 
B:  (跳出循环)

if-else判断分支

int i = 0;
0040B93E  mov         dword ptr [i],0 
    int j = 0;
0040B945  mov         dword ptr [j],0 
    if ( i < 10 )
0040B94C  cmp         dword ptr [i],0Ah 
0040B950  jge         wmain+3Bh (40B95Bh) 
    {
        j = 10;
0040B952  mov         dword ptr [j],0Ah 
0040B959  jmp         wmain+51h (40B971h) 
    }
    else if (i < 20 )
0040B95B  cmp         dword ptr [i],14h 
0040B95F  jge         wmain+4Ah (40B96Ah) 
    {
        j = 20;
0040B961  mov         dword ptr [j],14h 
    }
    else
0040B968  jmp         wmain+51h (40B971h) 
    {
        j = 30;
0040B96A  mov         dword ptr [j],1Eh 
    }
    return 0;
0040B971  xor         eax,eax 

if 判断都是使用cmp加上条件跳转指令。

cmp <条件>
jle <下一个分支>

所以开始的反汇编为：

    if ( i < 10 ）
0040B94C  cmp         dword ptr [i],0Ah     ；判断点
0040B950  jge         wmain+3Bh (40B95Bh)     ；跳转到下一个else if

else if和else的特点是，在开始的地方都有一条无条件跳转指令，跳转到判断结束处，阻止前面的分支执行结束后，直接进入这个分支的可能，这个分支执行的唯一条件为前面的判断不满足。
else则在jmp之后直接执行操作，而else if则开始重复if之后的操作，用cmp比较，然后用条件质量进行跳转。

0040B959  jmp         wmain+51h (40B971h)     ；跳转到判断块外
    }
    else if (i < 20 )
0040B95B  cmp         dword ptr [i],14h     
0040B95F  jge         wmain+4Ah (40B96Ah)     ；比较，条件跳转，目标为下一个分支
    {
        j = 20;
0040B961  mov         dword ptr [j],14h 
    }

switch-case 判断分支

switch的特点是有多个判断。因为switch显然不会判断大于小于，所以都是je，分别跳转到每个case处，最有一个是无条件跳转，直接跳到default处。
对于break，会增加一个无条件跳转语句，跳转至结尾

int i = 0;
0040B93E  mov         dword ptr [i],0 
    int j = 0;
0040B945  mov         dword ptr [j],0 
    switch (i)
0040B94C  mov         eax,dword ptr [i] 
0040B94F  mov         dword ptr [ebp-0DCh],eax 
0040B955  cmp         dword ptr [ebp-0DCh],0     
0040B95C  je          wmain+49h (40B969h)         ；判断case 1
0040B95E  cmp         dword ptr [ebp-0DCh],1 
0040B965  je          wmain+52h (40B972h)         ；判断case 2
0040B967  jmp         wmain+59h (40B979h)         ；跳转到default
    {
    case 0:
        j = 0;
0040B969  mov         dword ptr [j],0 
        break;                                    ；跳转到结束
0040B970  jmp         wmain+60h (40B980h) 
    case 1:
        j = 1;
0040B972  mov         dword ptr [j],1 
    default:
        j = 3;
0040B979  mov         dword ptr [j],3 
    }

    return 0;
0040B980  xor         eax,eax 

所以如果看到有多个连续的

cmp
je

标志着可能是swith语句

访问结构体数组成员

对于以下代码：

struct A 
{
    int a;
    int b;
    int c;
};

int wmain(int argc, wchar_t* argv[])
{
    A    ar[3];
    for (int i=0;i<3;++i)
    {
        ar[i].a    = 0;
        ar[i].b    = 0;
        ar[i].c    = 0;
    }

    return 0;
}

for循环中所对应的汇编为

  ar[i].a = 0;
0040B956  mov      eax,dword ptr [i]  ；访问第i个数据
0040B959  imul     eax,eax,0Ch    ；0ch为结构体的大小，这里得到访问第i个机构体的地址偏移
0040B95C  mov      dword ptr ar[eax],0  ；取得第i个结构体的第一个元素地址
  ar[i].b = 0;
0040B964  mov      eax,dword ptr [i] 
0040B967  imul     eax,eax,0Ch 
0040B96A  mov      dword ptr [ebp+eax-24h],0 
  ar[i].c = 0;
0040B972  mov      eax,dword ptr [i] 
0040B975  imul     eax,eax,0Ch 
0040B978  mov      dword ptr [ebp+eax-20h],0 

对于结构体数组的访问有个很明显的特征：使用imul取得某个数组元素的地址偏移,然后在加上所要访问结构体成员的地址偏移。同时，大多数情况下结构的的大小都是在编译期决定的，imul的最后一个参数会是个常量。

阅读汇编代码的一些技巧

1.将指令分类：

    首先F（function）类指令：是函数调用相关代码，这些代码用于函数或者作为一个函数数被调用。几乎凡是堆栈操作（备份集陈启或者压入参数）可全部归入此类。此外还有call指令、堆栈恢复。
    然后C（control）类指令    ：设计判断和跳转指令，以及对循环变量操作的指令。这些代码用于循环、判断语句。
    剩余D（data）类指令：数据处理指令，应该不包含函数调用，多半不含有堆操作，也不会含有跳转。
2.翻译D类指令。
3.表达式的合并与控制流程的结合。

Reference：

学 Win32 汇编[29] - 串指令: MOVS*、CMPS*、SCAS*、LODS*、REP、REPE、REPNE 等

《天书夜读-从汇编语言到Windows内核编程》

sonilics 2011-01-07 20:19 发表评论

架设符号服务器

sonilics — Thu, 29 Oct 2009 08:25:00 GMT

1.下载并安装最新的Debugging Tools for Windows。
2.在系统Path环境变量中添加Debugging Tools for Windows的安装路径。
3.在系统环境变量中创建_NT_SYMBOL_PATH项并设置为SRV*E:\SymbolServer \OSSymbols*http://msdl.microsoft.com/download/symbols;E:\SymbolServer\MySymbols;C:\WINNT\Symbsols
其中,SRV是告诉调试器加载symsrv.dll并将后面的执作为参数,E:\SymbolServer\OSSymbols是我为操作系统符号设置的目录,http://msdl.microsoft.com/download/symbols告诉调试器如果没有找到所需的符号就到这个地址去下载,E:\SymbolServer\MySymbols是我自己程序的符号目录,C:\WINNT\Symbsols中有net2005的C- RunTime Library和MFC的PDB文件.

我是使用得本机作为符号服务器,当然也可以使用专门架设一台服务器作为符号服务器,只要将_NT_SYMBOL_PATH中的路径设置为远程路径就可以.注意你要对符号服务器有读写权限.

See also:
Debugging Tools and Symbols: Getting Started
MSDN2001中关于symbol文件的相关介绍和MSDN中Matt Pietrek的文章------最好还是下载DDK
使用 Minidumps 和 Visual Studio .NET 进行崩溃后调试
 Debug Tips at codeproject
简单建立自己的符号服务器(symstore使用说明)
MS DLL Help Database

sonilics 2009-10-29 16:25 发表评论

C++博客-soNiliCs-文章分类-Debugging