文章目录
- 一、对应的 C 代码与关键汇编
- 二、while 循环的典型逆向特征
- 1. 控制流模式:前测试循环(pre-test loop)
- 2. 循环变量的使用特征
- 3. 与 for 循环的区别特征(和你前一个示例对比)
- 三、结合本例的一句话总结
一、对应的 C 代码与关键汇编
C 代码:
voidfunc2(){intindex=0;while(index<10){printf("%d",index);index++;}return;}与while (index < 10)直接对应的汇编核心部分是:
; 变量初始化 00071B86 mov dword ptr [index],0 ; 条件判断:index < 10 ? 00071B8D cmp dword ptr [index],0Ah 00071B91 jge __$EncStackInitStart+43h (071BAFh) ; index >= 10 跳出循环 ; 循环体:printf("%d", index); 00071B93 mov eax,dword ptr [index] 00071B96 push eax 00071B97 push offset string "%d" (07AC04h) 00071B9C call _printf (071541h) 00071BA1 add esp,8 ; index++; 00071BA4 mov eax,dword ptr [index] 00071BA7 add eax,1 00071BAA mov dword ptr [index],eax ; 跳回条件判断 00071BAD jmp __$EncStackInitStart+21h (071B8Dh)二、while 循环的典型逆向特征
结合这段代码,可以概括while (条件)在 MSVC Debug 未优化下的典型汇编特征。
1. 控制流模式:前测试循环(pre-test loop)
结构非常标准:
index = 0; ; 初始化 cond: if (index >= 10) goto end; ; 条件判断(不满足条件就退出) ... 循环体 ... index++; ; 在循环体内部更新 goto cond; ; 回到条件处重新判断 end: ... 循环后代码 ...在汇编中对应为:
初始化在前、紧接着就是条件判断
mov [index], 0 ; 初始化 cmp [index], 0Ah ; 与 10 比较 jge end ; index >= 10 跳出特征:
- 初始化之后没有先
jmp到别处,而是直接cmp+ 条件跳转,说明第一次进入循环前就做判断——这是典型的while/for“前测试型”循环,而不是do...while那种后测试。
- 初始化之后没有先
条件跳转直接是“跳出循环”的出口
cmp [index], 0Ah jge end ; 满足退出条件时直接跳出到循环后jge(大于等于)配合前面的cmp:逻辑上就是index < 10时才进入循环体。- 在逆向时,看到条件跳转目标在循环之后,而“顺序执行”落到循环体内,就是 while / for 常见模式。
循环体内修改循环变量,体尾有回跳到条件判断
; 循环体... printf(...); ; index++ mov eax, [index] add eax, 1 mov [index], eax ; 回到条件判断 jmp cond核心特征:
- 更新循环变量(自增、自减等)在循环体内。
- 循环体最后一个有效控制流指令是
jmp cond,跳回条件检查的cmp那里。
2. 循环变量的使用特征
以index为例(这里编译器把它放在栈上的某个[ebp-偏移],你这份反汇编被符号化成[index]):
初始化:
mov dword ptr [index], 0参与比较(条件判断):
cmp dword ptr [index], 0Ah在循环体里作为函数参数使用:
mov eax, dword ptr [index] push eax ; 传给 printf在循环体里被线性更新(自增):
mov eax, dword ptr [index] add eax, 1 mov dword ptr [index], eax
在逆向时,如果看到一个栈变量(某个固定偏移)具有以下模式:
- 先被赋一个初值;
- 紧接着用来和某个常量比较,以决定是否跳出某段重复执行的代码;
- 在这段重复执行的代码内部被简单线性修改(加减 1、加减常数);
- 代码尾部有跳转回比较位置;
那么这个变量就是典型的循环计数器,这段结构就是一个循环。
3. 与 for 循环的区别特征(和你前一个示例对比)
你前一个示例是for (int index = 0; index < 10; index++),其 Debug 版汇编大致是:
init: index = 0 jmp cond inc: index++ cond: cmp index, 10 jge end body: ... jmp inc而现在的while (index < 10) { ... index++; }的形态是:
init: index = 0 cond: cmp index, 10 jge end body: ... index++ jmp cond对比要点:
| 特征点 | for 循环(上一个例子) | while 循环(本例) |
|---|---|---|
| 初始化后是否立刻 jmp | 是,jmp cond | 否,初始化后直接落到cmp条件判断 |
| 递增代码位置 | 单独一个inc块,循环体之后跳回这里 | 在循环体内部、条件判断之后 |
| 最后一个回跳目标 | 回到inc,再走到cond | 直接回到cond |
| 常见 C 形式 | for (init; cond; inc) { body } | init; while (cond) { body; inc; } |
因此,在逆向时:
- 看到init 之后立刻一个无条件跳到后面某处,再看到那处后上方有更新变量的块,则更像
for; - 看到init 后直接 cmp / jcc 做条件判断,更新变量在循环体内部,体尾直接 jmp 回 cmp,则更像
while(或for写成 while 形式)。
三、结合本例的一句话总结
这段while (index < 10)在汇编中的逆向特征可以一句话概括为:
使用栈上的局部变量
[index]作为计数器,先mov [index],0初始化,然后紧接着在同一条执行路径上用cmp [index],0Ah / jge end做前置条件判断,若未跳出则执行循环体中的printf和index++,最后通过jmp返回到条件判断位置,如此形成init → cond(cmp+jcc) → body(含 index++ ) → jmp cond的典型前测试 while 循环控制流结构。这种“初始化后直接条件判断、循环体结尾跳回条件、循环变量在体内更新”的组合,就是识别 while 循环的主要逆向特征。
