Назначение участка ассемблерного кода - Assembler - Ассемблер (FASM, MASM, WASM, NASM, GoASM, Gas, RosAsm, HLA) и не рекомендуем TASM

Schmidt · 15.07.2013, 07:51

Добрый день,

Занимаюсь изучением работы программ без исходных текстов (reverse engineering). Пока опыта немного, столкнулся с ассемблерной конструкцией, суть которой не могу уловить. Что за компилятор - неизвестно, но известно, что язык исходной программы - C/C++. Исходно в регистре ECX находится указатель на char-строку. Код ассемблерной конструкции таков:

Код:

.text:00405324                 neg     ecx
.text:00405326                 and     ecx, 3
.text:00405329                 jz      short loc_405337

Сломал себе голову, исчеркав кучу бумаги...Что же проверяется на этом участке?

DiemonStar · 15.07.2013, 08:05

проверка третьего бита на ноль, если считать с 1.

waleri · 15.07.2013, 08:56

Цитата:

Сообщение от DiemonStar

проверка третьего бита на ноль, если считать с 1.

А может проверка младших двух битов на ноль?
Кратность четырем, не?

DiemonStar · 15.07.2013, 09:48

для двух младших хватило бы обычного xor. А neg работает чуть иначе... ecx + neg ecx = 0

waleri · 15.07.2013, 10:00

А, ну да, поправка, проверка младших двух битов на единицу, хотя сами по себе последние две инструкции проверяют младшие два бита на ноль.

Schmidt · 15.07.2013, 16:01

Технически так... Интересно кому/чему и для чего требуется этот код... Взять указатель на участок памяти, отнять его от нуля и потом еще на основе двух последних битов результата выбирать следующую ветку исполняемого кода...Интересно, кому вообще понадобилось в клиентском коде (функции самой программы) производить такую арифметику с указателями...Если бы этот код лежал в памяти ядра, я бы мог предположить, что это какая-то проверка на выравнивание адресов в памяти, хотя смысл NEG все равно остается загадкой... Может обфускация? Набор инструкций, который ничего не меняет в логике программы... Отродясь не видел, чтобы что-то с указателями выполняли, кроме вычитания, инкремента/декремента, и проверки на равенство 0...

waleri · 15.07.2013, 16:35

функция memcpy() выравнивает адреса

Vapaamies · 15.07.2013, 20:51

Похоже на подготовку к сканированию или поиску подстроки из обычных символов, двигаясь сразу двойными словами. Такая техника часто используется для ускорения, поскольку доступ к 32-битным словам быстрее, чем побайтный перебор.

DiemonStar · 16.07.2013, 09:31

Цитата:

Интересно, кому вообще понадобилось в клиентском коде (функции самой программы) производить такую арифметику с указателями...Если бы этот код лежал в памяти ядра, я бы мог предположить, что это какая-то проверка на выравнивание адресов в памяти, хотя смысл NEG все равно остается загадкой..

вообще-то проверить адрес на содержание x...xxxx100b не так и просто одной операцией. еще один вариант такой проверки выглядит так:

Код:

and ecx,7
xor ecx, 4  (или cmp ecx, 4)
jz short loc_405337

но первый вариант будет и короче (в байтах исполняемого кода) и немного быстрее

Schmidt · 17.07.2013, 18:04

Цитата:

Сообщение от Vapaamies

Похоже на подготовку к сканированию или поиску подстроки из обычных символов, двигаясь сразу двойными словами. Такая техника часто используется для ускорения, поскольку доступ к 32-битным словам быстрее, чем побайтный перебор.

Да, вы правы, это оно!

Процедура, содержащая данный код заполняет память по указателю ASCII-символом, повторяя его определенное количество раз. Данный код проверяет, нужно ли выровнять указатель по двойному слову, вычисляя остаток до следующего 0xHHHHHH00 адреса. Если остаток не 0, то код выравнивает указатель внутри буфера, записывая нужное количество байт.

Если кому-то любопытно, код дизассемблированной процедуры во вложенном текстовом файле. Благодарю за помощь

15.07.2013, 07:51	#1
Schmidt Новичок Джуниор Регистрация: 15.07.2013 Сообщений: 3	Назначение участка ассемблерного кода Добрый день, Занимаюсь изучением работы программ без исходных текстов (reverse engineering). Пока опыта немного, столкнулся с ассемблерной конструкцией, суть которой не могу уловить. Что за компилятор - неизвестно, но известно, что язык исходной программы - C/C++. Исходно в регистре ECX находится указатель на char-строку. Код ассемблерной конструкции таков: Код: `.text:00405324 neg ecx .text:00405326 and ecx, 3 .text:00405329 jz short loc_405337` Сломал себе голову, исчеркав кучу бумаги...Что же проверяется на этом участке?

15.07.2013, 08:05	#2
DiemonStar Старожил Регистрация: 08.02.2012 Сообщений: 2,173	проверка третьего бита на ноль, если считать с 1. Правильно поставленная задача - три четверти решения. Последний раз редактировалось DiemonStar; 15.07.2013 в 08:17.

15.07.2013, 09:48	#4
DiemonStar Старожил Регистрация: 08.02.2012 Сообщений: 2,173	для двух младших хватило бы обычного xor. А neg работает чуть иначе... ecx + neg ecx = 0 Правильно поставленная задача - три четверти решения.

15.07.2013, 10:00	#5
waleri Старожил Регистрация: 13.07.2012 Сообщений: 6,372	А, ну да, поправка, проверка младших двух битов на единицу, хотя сами по себе последние две инструкции проверяют младшие два бита на ноль. Последний раз редактировалось waleri; 15.07.2013 в 10:02.

15.07.2013, 20:51	#8
Vapaamies Просветитель Участник клуба Регистрация: 26.12.2012 Сообщений: 1,844	Похоже на подготовку к сканированию или поиску подстроки из обычных символов, двигаясь сразу двойными словами. Такая техника часто используется для ускорения, поскольку доступ к 32-битным словам быстрее, чем побайтный перебор. В разработке: воспроизводственный контур ИТ

15.07.2013, 16:01	#6
Schmidt Новичок Джуниор Регистрация: 15.07.2013 Сообщений: 3	Технически так... Интересно кому/чему и для чего требуется этот код... Взять указатель на участок памяти, отнять его от нуля и потом еще на основе двух последних битов результата выбирать следующую ветку исполняемого кода...Интересно, кому вообще понадобилось в клиентском коде (функции самой программы) производить такую арифметику с указателями...Если бы этот код лежал в памяти ядра, я бы мог предположить, что это какая-то проверка на выравнивание адресов в памяти, хотя смысл NEG все равно остается загадкой... Может обфускация? Набор инструкций, который ничего не меняет в логике программы... Отродясь не видел, чтобы что-то с указателями выполняли, кроме вычитания, инкремента/декремента, и проверки на равенство 0...

15.07.2013, 16:35	#7
waleri Старожил Регистрация: 13.07.2012 Сообщений: 6,372	функция memcpy() выравнивает адреса

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Выполнение участка кода без ожидания ввода	БалаШагаЛ	Общие вопросы C/C++	5	09.06.2011 12:17
Преобразование ассемблерного кода в опкоды	kaledonia007	Компоненты Delphi	4	26.03.2011 23:48
Вычислить количество символов участка кода на интернет странице	Shinnok91	Общие вопросы Delphi	20	23.03.2011 09:06
Вызов события из произвольного участка кода в WPF	Casper-SC	Общие вопросы .NET	1	24.07.2010 10:23