逆向分析之if语句与循环语句的分析

前言

本次我们要介绍if语句，for循环编译后的反汇编内容，以C/C++编写的可执行程序为例进行分析

一只Demo

首先是一只Demo，是我们本次分析对象的源码

#include <stdio.h>void if_demo(int v)
{if (v > 5)printf("v > 5\n");elseprintf("v <= 5\n");
}void for_demo(int v)
{for (int i = 0; i < v; ++i){printf("item :%d\n", i);}
}int main()
{int v = 6;if_demo(v);for_demo(v);return 0;
}

本次的demo分为两部分，分别是if语句的demo，for语句的demo，我们首先把它编译为sample.exe 文件，然后使用调试器进行调试

IF 语句

首先我们先看一下 if_demo 函数反汇编后的效果

我们来看一下上面的反汇编内容，我们分成几部分来看

首先第一部分是 printf 语句，call sample.A610D7 是调用 printf 接口的汇编语句，再起上面的一条 push 语句为向printf压如参数，也就是要打印的字符串

接下来我们要识别的是条件判断语句

首先是 cmp 语句，cmp 语句由于比较两个操作数，将结果保存在标志寄存器中，具体是如何保存的我们暂时可以先不用管

接下来是一条条件跳转语 jle，jle 的全称是 Jump if less or equal，也就是上面cmp语句的比较结果为小于或等于时跳转，那也就以为着如果大于则不进行跳转。我们画一个图一看就明白了

FOR 循环

首先我们看一下 for_demo 的反汇编结果

我们还是分部分来看代码，左边的箭头显示了每一条指令的跳转位置，我们可以对比着看

这段代码的含义是调用printf打印第几次循环，也就是for中循环体部分的内容

这部分是对控制变量进行自增，然后进行比较，看看是否满足循环条件，如果不满足循环条件则通过jge指令跳转到循环体外面

这一行跳转语句用于在第一次循环时设置了控制变量为0后直接跳过对控制变量的自增部分，直接判断是否满足循环条件

这一条跳转语句用于跳转到控制变量自增的部分

接下来，还是一张图说明一下流程

安全性问题

虽然程序被编译为了汇编语言，但是对于有经验的逆向分析人员来说逻辑还是很清晰的，尤其是如果辅助了反编译工具，比如IDA一类，程序会被还原为跟源码差不多的伪代码，那我们程序的逻辑就更加的暴露无疑了，那我们的程序的安全性应该如何保证呢？

答案是我们需要对程序进行加固，我们可以下载一个 Virbox Protector 工具，然后对我们的程序进行加固，加固后的程序可以检测调试器，当有人调试我们的程序时程序就直接退出了，同时混淆虚拟化等等功能也会让我们程序变得无法分析