本系列主要從匯編角度研究C++語言機(jī)制和匯編的對應(yīng)關(guān)系。第一篇自然應(yīng)該從最簡單的開始。C++的源代碼如下:
|
class my_class
{
public :
my_class()
{
m_member = 1;
}
void method(int n)
{
m_member = n;
}
~my_class()
{
m_member = 0;
}
private :
int m_member;
};
int _tmain(int argc, _TCHAR* argv[])
{
my_class a_class;
a_class.method(10);
return 0;
}
|
可以直接Debug的時候看到Assembly代碼,不過這樣獲得的代碼注釋比較少。比較理想的方法是利用VC編譯器的一個選項(xiàng)/FAs來生成對應(yīng)的匯編代碼。/FAs還會在匯編代碼中加入注釋注明和C++代碼的對應(yīng)關(guān)系,十分有助于分析。Build代碼便可以在輸出目錄下發(fā)現(xiàn)對應(yīng)的.ASM文件。本文將逐句分析匯編代碼和C++的對應(yīng)關(guān)系。
首先是WinMain:
|
_TEXT SEGMENT
_wmain PROC
push ebp ; 保存舊的ebp
mov ebp, esp ; ebp保存當(dāng)前棧的位置
push -1 ; 建立SEH(Structured Exception Handler)鏈
; -1表示表頭,沒有Prev
push __ehhandler$_wmain ; SEH異常處理程序的地址
mov eax, DWORD PTR fs:0 ; fs:0指向TEB的內(nèi)容,頭4個字節(jié)是當(dāng)前SEH鏈的地址
push eax ; 保存起來
sub esp, d8H ; 分配d8H字節(jié)的空間
push ebx
push esi
push edi
lea edi, DWORD PTR [ebp-e4H] ; e4H = d8H + 4 * 3,跳過中間ebx, esi, edi
mov ecx, 36H ; 36H*4H=d8H,也就是用36H個ccccccccH填滿剛才分配的d8H字節(jié)空間
mov eax, ccccccccH
rep stosd
mov eax, DWORD PTR ___security_cookie
xor eax, ebp
push eax ; ebp ^ __security_cookie壓棧保存
lea eax, DWORD PTR [ebp-0cH] ; ebp-0cH是新的SEH鏈的結(jié)構(gòu)地址(剛壓入棧中的棧地址)
mov DWORD PTR fs:0, eax ; 設(shè)置到TEB中作為當(dāng)前Active的SEH鏈表末尾
|
到此為止棧的內(nèi)容是這樣的:
低地址
|
Security cookie after XOR
|
|
Edi
|
|
Esi
|
|
Ebx
|
|
Local stack: d8H
|
|
Old fs:0
|
|
__ehhandler$_wmain
|
|
ffffffffH
|
|
Old ebp
|
高地址
main接著后面調(diào)用my_class的構(gòu)造函數(shù)
|
lea ecx, DWORD PTR [ebp-14H]
call ??0my_class@@QAE@XZ ; 調(diào)用my_class::my_class, ??my_class@@QAE@XZ是經(jīng)過Name Mangling后的名字
mov DWORD PTR [ebp-4], 0 ; 進(jìn)入__try塊,在Main中有一個隱式的__try/__except塊
|
接著調(diào)用my_class::method
|
push 10 ; 參數(shù)入棧
lea ecx, DWORD PTR [ebp-14H] ; 遵循thiscall調(diào)用協(xié)定,ecx存放的是this指針
call ?method@my_class@@QAEXH@Z ; 調(diào)用子程序my_class:method(10)
|
之后是析構(gòu):
|
mov DWORD PTR [ebp-e0H], 0 ; 用來放置返回值
mov DWORD PTR [ebp-4], -1 ; 標(biāo)記TRY的正常結(jié)束
lea ecx, DWORD PTR [ebp-14H] ; a_class的地址作為this存入ECX
call ??1my_class@@QAE@XZ ; my_class::~my_class
mov eax, DWORD PTR [ebp-e0H] ; 返回值按照約定放入eax中
|
Main函數(shù)退出代碼如下:
|
push edx
mov ecx, ebp
push eax
lea edx, DWORD PTR $LN7@wmain
call @_RTC_CheckStackVars@8 ; 檢查棧
pop eax
pop edx
mov ecx, DWORD PTR [ebp-0cH] ; 取出之前保存的舊的fs:0,并恢復(fù)
mov DWORD PTR fs:0, ecx
pop ecx
pop edi
pop esi
pop ebx
add esp, e4H ; 退掉分配的d8H + 建立SEH鏈所需的0cH字節(jié)
cmp ebp, esp
call __RTC_CheckEsp ; 檢查esp值,這個時候esp應(yīng)該和ebp匹配,否則說明出現(xiàn)了棧不平衡的情況,這種情況下調(diào)用子程序報(bào)錯
mov esp, ebp ; 恢復(fù)ebp到esp
pop ebp ; 恢復(fù)原來的ebp值
ret 0
_wmain ENDP
|
專門用于SEH的子程序。__unwindfunclet$_wmain$0當(dāng)異常發(fā)生的時候被調(diào),負(fù)責(zé)進(jìn)行棧展開,主要是調(diào)用析構(gòu)函數(shù)。__ehhandler$_wmain則是在exception被拋出的時候調(diào)用。
|
Text$x SEGMENT
__unwindfunclet$_wmain$0: ; 當(dāng)SEH發(fā)生的時候會調(diào)用該函數(shù),析購a_class
lea ecx, DWORD PTR [ebp-14H] ; ecx = [ebp – 14H],也就是a_class的地址
jmp ??1my_class@@QAE@XZ ; 調(diào)用my_class::~my_class
__ehhandler$_wmain:
mov edx, DWORD PTR [esp+8] ; esp = 當(dāng)前的fs:0, [esp + 8] = 之前的SEH結(jié)構(gòu),也就是main中建立的
lea eax, DWORD PTR [edx+0cH] ; edx + 0Ch = 當(dāng)前的ebp,也就是main的ebp,此時不能直接使用ebp因?yàn)榭赡軙娜我夂瘮?shù)調(diào)過來,此時ebp是該函數(shù)的ebp,而不是main的ebp
mov ecx, DWORD PTR [edx-e0H] ; 之前存下去的__security_cookie ^ ebp
xor ecx, eax ; 再次和ebp相異或
call @__security_check_cookie@4 ; 此時ecx應(yīng)該等于__security_cookie,否則說明棧的內(nèi)容被惡意改動(或者編程錯誤)
mov eax, OFFSET __ehfuncinfo$_wmain
jmp ___CxxFrameHandler3
text$x ENDS
|
My_class::my_class構(gòu)造函數(shù)如下。構(gòu)造函數(shù)本質(zhì)上就是一個全局函數(shù),名字是經(jīng)過打亂的(Name Mangling),這樣可以和同一Class和其他Class的同名方法區(qū)別開來。不同編譯器有不同規(guī)則,因此不必過于深究。
|
_TEXT SEGMENT
??0my_class@@QAE@XZ PROC
push ebp ; 保存舊的ebp
mov ebp, esp ; ebp保存當(dāng)前棧的位置
sub esp, ccH ; 給棧分配ccH個字節(jié)
push ebx ; 保存常用寄存器
push esi
push edi
push ecx
lea edi, DWORD PTR [ebp-ccH] ; 從分配的位置開始
mov ecx, 33H ; 寫33H個ccccccccH
mov eax, ccccccccH ; 也就是33H*4H=ccH,正好是分配的大小
rep stosd ; 從而把整個棧上當(dāng)前分配的空間用ccH填滿
pop ecx
mov DWORD PTR [ebp-8], ecx ; 按照約定,一般用ECX保存this指針
; 把this存入到ebp-8,并不是很必要,因?yàn)檫@是Debug版本
; 10 : {
; 11 : m_member = 1;
mov eax, DWORD PTR [ebp-8] ; eax中存放this
mov DWORD PTR [eax], 1 ; this的頭四個byte是m_member的內(nèi)容
; 12 : }
mov eax, DWORD PTR [ebp-8] ; 多余的一句話,可以優(yōu)化掉
pop edi
pop esi
pop ebx
mov esp, ebp ; 恢復(fù)esp,因此就算是中間棧運(yùn)算出錯,最后也不會導(dǎo)致災(zāi)難性的結(jié)果,只要ebp還是正確的
pop ebp
ret 0
??0my_class@@QAE@XZ ENDP
|
My_class::method的實(shí)現(xiàn)如下:
|
_TEXT SEGMENT
?method@my_class@@QAEXH@Z PROC ; my_class::method
; 15 : {
push ebp
mov ebp, esp
sub esp, ccH
push ebx
push esi
push edi
push ecx
lea edi, DWORD PTR [ebp-ccH]
mov ecx, 33H
mov eax, ccccccccH
rep stosd
pop ecx
mov DWORD PTR [ebp-8], ecx
; 16 : m_member = n;
mov eax, DWORD PTR [ebp-8] ; eax中存放this
mov ecx, DWORD PTR [ebp+8] ; ebp -> ebp
; ebp + 4 -> IP
; ebp + 8 -> n
; 把n存入ecx中
mov DWORD PTR [eax], ecx ; this頭四個字節(jié)是m_member, 因此這句話就是m_member = n
; 17 : }
pop edi
pop esi
pop ebx
mov esp, ebp
pop ebp
ret 4 ; 等價于
; ret 恢復(fù)EIP,返回調(diào)用地址
; add esp, 4 -> 把n從棧上Pop掉
?method@my_class@@QAEXH@Z ENDP
|
最后的析構(gòu)函數(shù),和前面的代碼并無區(qū)別。
|
_TEXT SEGMENT
??1my_class@@QAE@XZ PROC ; my_class::~my_class
; 20 : {
push ebp
mov ebp, esp
sub esp, 204
push ebx
push esi
push edi
push ecx
lea edi, DWORD PTR [ebp-204]
mov ecx, 33H
mov eax, ccccccccH
rep stosd
pop ecx
mov DWORD PTR _this$[ebp], ecx
; 21 : m_member = 0;
mov eax, DWORD PTR [ebp-8]
mov DWORD PTR [eax], 0
; 22 : }
pop edi
pop esi
pop ebx
mov esp, ebp
pop ebp
ret 0
??1my_class@@QAE@XZ ENDP ; my_class::~my_class
|