前言
本次是该系列的的第0x05篇
实验环境:
- Windows10 + VS2022 + masm
0x05
代码片段链接:xorpd | xchg rax,rax 0x05
sub rax,5
cmp rax,4
代码分析
cmp指令
cmp指令实际上进行比较的方式是通过减法运算进行,对标志位的影响等同于sub指令
sub指令对标志位的影响
如果相减结果为正数,则CF=0,ZF=0
如果相减结果为负数,则CF=1,ZF=0
如果相减结果为零数,则CF=0,ZF=1
代码片段分析
这个片段在逆向的时候我也见过,C语言的switch case 跳转功能就有类似的操作,当case情况依次是4,5,6,7,8,9时,机器码会把条件变量减去4,然后根据是否为0,进行跳转,然后逐步减一进行比较跳转:
switch (argv)
00007FF62C281076 83 E9 04 sub ecx,4
00007FF62C281079 74 72 je main+7Dh (07FF62C2810EDh)
00007FF62C28107B 83 E9 01 sub ecx,1
00007FF62C28107E 74 55 je main+65h (07FF62C2810D5h)
00007FF62C281080 83 E9 01 sub ecx,1
00007FF62C281083 74 38 je main+4Dh (07FF62C2810BDh)
00007FF62C281085 83 E9 01 sub ecx,1
00007FF62C281088 74 1B je main+35h (07FF62C2810A5h)
00007FF62C28108A 83 F9 01 cmp ecx,1
00007FF62C28108D 75 63 jne main+82h (07FF62C2810F2h)
case 8:addition += 5; break;
00007FF62C28108F 8D 51 04 lea edx,[rcx+4]
default:
break;
这里代码片段的含义是产生一个数减去另一个数(5)大于或小于一个值(4)的两种情况,通过ZF标志位来区分,从而进行判断跳转
测试判断:
当rax = 8 ,ZF=0,CF=1
当rax = 9 ,ZF=1,CF=0
当rax = 10,ZF=0,CF=0
可以使用根据ZF和CF标志位进行跳转的指令进行条件转移,可在这里查阅条件跳转指令:Jcc — Jump if Condition Is Met (felixcloutier.com)
比如jbe就满足要求,当CF=1或ZF=1时跳转,也就是小于等于时跳转,在本例下就是4-9之间的数值会进行跳转
测试代码:
.code
main proc
lea rax, [18]
sub rax,5
cmp rax,4
ret
main ENDP
END
参考资料
Jcc — Jump if Condition Is Met (felixcloutier.com)
SUB — Subtract (felixcloutier.com)
(vs2010、vs2013、vs2015、vs2017查看OF、ZF、SF标志位_CJ_xiaoni的博客-CSDN博客