逆向2--函数的调用过程

 

这个程序的源代码为调用一个加法函数，打印main用来定位主函数入口，目的是分析一个函数在调用的过程中汇编中的代码是怎么样的

 

 

打开反汇编，寻找到主函数；

 

 call 调用一个函数的过程是：push eip 先保存当前的eip指令指针，然后jum到函数的地址

 

下面这里是按F7进入到函数里面

一个函数的调用过程：

00CBD300  /> \55            PUSH EBP                            ;  保存栈底指针
00CBD301  |.  8BEC          MOV EBP,ESP                         ;  把栈顶指针给栈底，栈顶和栈底指向同一地址
00CBD303  |.  81EC C0000000 SUB ESP,0C0                         ;  抬高栈顶0c0长度，开辟一个新的栈长度
00CBD309  |.  53            PUSH EBX                            ;  下面三个寄存器可能会用到覆盖原来的值，先保存起来，等下怕这个函数改成什么鬼了都不知道，避免破坏原理的main函数
00CBD30A  |.  56            PUSH ESI
00CBD30B  |.  57            PUSH EDI
00CBD30C  |.  8DBD 40FFFFFF LEA EDI,DWORD PTR SS:[EBP-C0]       ;  新的栈顶的首地址给了edi
00CBD312  |.  B9 30000000   MOV ECX,30                          ;  ecx经常用来循环，循环计数器初始化
00CBD317  |.  B8 CCCCCCCC   MOV EAX,CCCCCCCC
00CBD31C  |.  F3:AB         REP STOS DWORD PTR ES:[EDI]         ;  rep 重复执行上面一条 把新的栈空间全部刷成cccc，初始化
00CBD31E  |.  8B45 08       MOV EAX,DWORD PTR SS:[EBP+8]        ;  传进来的参数
00CBD321  |.  0345 0C       ADD EAX,DWORD PTR SS:[EBP+C]        ； 实现加法功能
00CBD324  |.  5F            POP EDI                             ;  复原原来的值
00CBD325  |.  5E            POP ESI
00CBD326  |.  5B            POP EBX
00CBD327  |.  8BE5          MOV ESP,EBP                         ;  复原原来的栈顶
00CBD329  |.  5D            POP EBP                             ;  复原栈底
00CBD32A  \.  C3            RETN                                ;  eax 默认返回函数