企业官网建设流程全解析

wordpress 添加设置,洛阳建站优化教程,网站备案接入ip,江苏华江建设集团有限公司网站文章目录逆向实战#xff1a;我是怎么从这段汇编一眼看出它是 switch#xff0c;而不是一串 if/else1. 先把源码和目标放在脑子里2. 第一眼看到的异常感#xff1a;**比较链太“整齐”了**2.1 同一个变量#xff0c;被连续拿来和多个“干净的常量”比较3. 再往下看#xf…文章目录逆向实战我是怎么从这段汇编一眼看出它是 switch而不是一串 if/else1. 先把源码和目标放在脑子里2. 第一眼看到的异常感**比较链太“整齐”了**2.1 同一个变量被连续拿来和多个“干净的常量”比较3. 再往下看每个分支都“自己干完事就跳走”为什么4. 最后一个确认点那个“兜底的 jmp”5. 到这里我在脑子里已经还原出完整结构了6. 顺手对照一下完整示例代码你给的7. 我自己在逆向里总结的“线性 switch 判断口诀”逆向实战我是怎么从这段汇编一眼看出它是switch而不是一串if/else有时候在逆向里最关键的不是“会不会写 C”而是看到一坨汇编时你脑子里第一反应是什么结构。这篇就直接拿你这段汇编来说我是怎么一步步判断它是switch-case而不是普通if / else if / else的。1. 先把源码和目标放在脑子里源码是一个非常简单的 switchintvar10;switch(var){case1:printf(1\r\n);break;case2:printf(2\r\n);break;case3:printf(3\r\n);break;default:printf(default\r\n);break;}逆向时我并不是一开始就假设它是 switch而是先看汇编在“干什么”。关键汇编如下无关代码已省略; var 10; 00C114FE mov dword ptr [ebp-4],0Ah ; switch (var) 00C11505 mov eax,dword ptr [ebp-4] 00C11508 mov dword ptr [ebp-8],eax ; 依次比较 1 / 2 / 3 00C1150B cmp dword ptr [ebp-8],1 00C1150F je 00C1151F ; case 1 00C11511 cmp dword ptr [ebp-8],2 00C11515 je 00C1152E ; case 2 00C11517 cmp dword ptr [ebp-8],3 00C1151B je 00C1153D ; case 3 00C1151D jmp 00C1154C ; default2. 第一眼看到的异常感比较链太“整齐”了我在逆向里看到这段时第一个感觉是这不像人手写的 if/else更像编译器生成的结构。为什么2.1 同一个变量被连续拿来和多个“干净的常量”比较cmp [ebp-8], 1 je case_1 cmp [ebp-8], 2 je case_2 cmp [ebp-8], 3 je case_3注意几个细节比较对象完全一样全是[ebp-8]比较值非常规整1、2、3每次 cmp 后立刻 je 跳走这在逆向里是一个非常强的信号。如果是普通 if/else有可能是、、有可能中途就return有可能比较对象变来变去但这里是一模一样的比较模板重复 N 次只是立即数不同。这非常像 switch 的 case 常量。3. 再往下看每个分支都“自己干完事就跳走”我顺着je跳到每个目标地址去看; case 1: 00C1151F push 0C17B30h ; 1\r\n 00C11524 call printf 00C11529 add esp,4 00C1152C jmp 00C11559 ; ← 关键 ; case 2: 00C1152E push 0C17B34h ; 2\r\n 00C11533 call printf 00C11538 add esp,4 00C1153B jmp 00C11559 ; case 3: 00C1153D push 0C17B38h ; 3\r\n 00C11542 call printf 00C11547 add esp,4 00C1154A jmp 00C11559这一步我基本已经 80% 确认是 switch 了。为什么因为它们全部在做一件事执行各自的 case 代码 →无条件跳到同一个地址这在 C 里只有一个非常典型的来源caseX:...break;也就是说jmp 00C11559≈break;00C11559≈ switch 之后的统一出口如果是 if/else很多时候不需要手动jmp可以顺着自然流控制流往下走但switch break 的汇编特征就是多个分支 → 多个 jmp → 同一出口。4. 最后一个确认点那个“兜底的 jmp”回头再看比较链的结尾cmp [ebp-8], 3 je case_3 jmp default这条jmp default非常关键。因为它说明一件事所有 case 都没命中 → 强制跳到某一个固定分支这在 C 里只能是default:而且这个default块00C1154C push 0C17B3Ch ; default\r\n 00C11551 call printf 00C11556 add esp,4没有被任何je直接命中只通过这一条 fallbackjmp进来100% 的 default 分支形态。5. 到这里我在脑子里已经还原出完整结构了在没看源码前我在逆向里已经可以直接写出这样的伪代码if(v1){printf(1);}elseif(v2){printf(2);}elseif(v3){printf(3);}else{printf(default);}然后再结合比较对象完全一致常量是离散整数所有分支都有 break 行为这不是人手写的 if/else而是编译器生成的线性 switch。6. 顺手对照一下完整示例代码你给的#includestdio.hvoidfunc(){intvar10;switch(var){case1:printf(1\r\n);break;case2:printf(2\r\n);break;default:printf(default\r\n);break;}}intmain(){func();return0;}和汇编一一对应没有任何矛盾点。7. 我自己在逆向里总结的“线性 switch 判断口诀”最后用人话总结一下这类 switch我在逆向时脑子里的判断流程是这样的同一个变量被连续 cmp 多次cmp 的都是干净的常量1、2、3…每个 cmp 后面都是 je直接跳走比较链最后有一个无条件 jmp → 兜底分支每个分支末尾都 jmp 到同一个地址只要这五条同时出现我几乎不会再怀疑这是 switch而且是 case 数量少、没用跳转表的那种。如果你愿意下一步我们可以直接接着写一篇“从汇编里区分线性 switch vs 跳转表 switch”或者“switch 没有 breakfall-through在汇编里的真实样子”这些在真实逆向里比语法本身更容易踩坑。