IT博客-我的一片天-文章分类-WIN32汇编

反汇编下找C++的类及成员函数

xyz — Sat, 08 Dec 2007 14:11:00 GMT

C++中类的使用

C010 obj;
PRINT_OBJ_ADR(obj)
obj.foo();
执行结果：obj's address is : 0012F843

首先我们看看对象的普通成员函数调用，obj.foo();，对应的汇编代码为：

00422E09 lea ecx,[ebp+FFFFF967h]
00422E0F call 0041E289

第1行把对象的地址存入ecx寄存器，执行完这行指令后，我们要以看到ecx中的值为0x0012F843，就是前面打印出的值。如果函数需要传递参数，我们还会在前面看到一些push指令。在第2行我们可以看到call的是一个直接的地址，这也就是静态绑定。即函数的调用地址在编译时已经被编译器决议。

跟踪进去我们要以看到是一条跳转指令，继续执行可以看到真正的函数代码部分，如下：

01 00425FE0 push ebp
02 00425FE1 mov ebp,esp
03 00425FE3 sub esp,0CCh
04 00425FE9 push ebx
05 00425FEA push esi
06 00425FEB push edi
07 00425FEC push ecx
08 00425FED lea edi,[ebp+FFFFFF34h]
09 00425FF3 mov ecx,33h
10 00425FF8 mov eax,0CCCCCCCCh
11 00425FFD rep stos dword ptr [edi]
12 00425FFF pop ecx
13 00426000 mov dword ptr [ebp-8],ecx
14 00426003 mov eax,dword ptr [ebp-8]
15 00426006 mov byte ptr [eax],2
16 00426009 pop edi
17 0042600A pop esi
18 0042600B pop ebx
19 0042600C mov esp,ebp
20 0042600E pop ebp
21 0042600F ret

我们看看第7行，把ecx寄存器入栈，后面4行初始化了函数的堆栈中的保存局部变量的部分。第12行弹出ecx值，到这里时ecx的值保持为在函数调用前存入的对象内存地址，第13行就是保存this指针的值，作为一个局部变量。这样我们就知道了VC7.1不是象传递普通函数那样通过压栈来传递this 指针，而是通过ecx寄存器来传递。第14、15行利用这个this指针给对象的成员变量进行了赋值。

xyz 2007-12-08 22:11 发表评论

类似Lea EAX,[EBX+10]的作用

xyz — Sat, 08 Dec 2007 13:37:00 GMT

Lea是返回偏移地址，对于 Lea EAX,s1 这样很好解释,就是返回变量s1的偏移地址

Lea EAX,[EBX+10]就比较复杂了

[EBX+10]表示EBX+10后作为地址,此地址指向位置的值,取的是EBX+10地址内的内容。

那Lea究竟是把这个内容作为地址存入EAX，还是把这个内容的地址赋给EAX呢？如果是后者，那不是跟MOV EAX,EBX+10的效果一样了？

实际的效果应该是后者，Mov EAX,EBX+10是非法的语句，汇编不允许操作数有2个寄存器和立即数存在。

Lea EAX,[EBX+10]的作用就是把EBX+10作为地址存入EAX。

xyz 2007-12-08 21:37 发表评论

堆栈ESP载调用函数时的变化。

xyz — Sat, 08 Dec 2007 13:23:00 GMT

堆栈指针ESP的变化方法：先ESP=ESP-4，然后把要PUSH的值放入[ESP]里,就是说ESP是先变化到新的地址位置，然后在存入值，接着就停留在那里等待新的PUSH。

WIN32程序在调用函数时的压栈顺序如下：

ESP-4 |___EBP ___| 进入函数的ESP值,一般会执行PUSH EBP MOV EBP,ESP，则EBP就是入函数的堆栈指针，以便通过EBP引用函数内的变量

ESP |___EIP____| 调用函数后，自动压入下一条指令的EIP

以STDCALL方式的函数，参数由右到左分别压入，在处理完后必须恢复ESP的值到指向EIP的栈地址。一般函数可通过retun 4 这样的方式把ESP+4。

xyz 2007-12-08 21:23 发表评论