switch语句详细逆向分析

news/2025/1/22 8:38:23/

首先需要明确一点switch语句在游戏当中至关重要,而且基本都会使用它来提高效率!

因为我们在找call的时候,如果能够识别出来switch语句,只要找到一个call,后面的就都搞定了

switch:case必须是整数,也必须是常量

拦截服务器发回来的数据包,找到加红,就找到了其他的一连串技能函数

switch当中几个需要注意的细节:

1、如果没有匹配到就直接跳出break

3、不加break就从匹配的case一直往后执行,直到遇到break为止

ebp-4 -8是局部变量,ebp+8 +C是函数的参数

1、当分支条件比较少的时候,switch和if else效率相当:

前面的部分都是一样的函数调用流程: 

当case的个数很少的时候,不会生成大表,和if..else语句没有任何区别 

n是传进来的函数的参数:n=3

006E1845  mov         eax,dword ptr [n]  
006E1848  mov         dword ptr [ebp-0C4h],eax  
006E184E  cmp         dword ptr [ebp-0C4h],1  
006E1855  je          __$EncStackInitStart+3Fh (06E186Bh)  
006E1857  cmp         dword ptr [ebp-0C4h],2  
006E185E  je          __$EncStackInitStart+4Eh (06E187Ah)  
006E1860  cmp         dword ptr [ebp-0C4h],3  
006E1867  je          __$EncStackInitStart+5Dh (06E1889h)  
006E1869  jmp         __$EncStackInitStart+6Ah (06E1896h)  
006E186B  push        offset string "111\n" (06E7B30h)  
006E1870  call        _printf (06E10CDh)  
006E1875  add         esp,4  
006E1878  jmp         __$EncStackInitStart+6Ah (06E1896h)  
006E187A  push        offset string "222\n" (06E7B38h)  
006E187F  call        _printf (06E10CDh)  
006E1884  add         esp,4  
006E1887  jmp         __$EncStackInitStart+6Ah (06E1896h)  
006E1889  push        offset string "111\n" (06E7B30h)  
006E188E  call        _printf (06E10CDh)  
006E1893  add         esp,4 
006E1896  pop         edi  
006E1897  pop         esi  
006E1898  pop         ebx  
006E1899  add         esp,0C4h  
006E189F  cmp         ebp,esp  
006E18A1  call        __RTC_CheckEsp (06E1244h)  
006E18A6  mov         esp,ebp  
006E18A8  pop         ebp  
006E18A9  ret  

 2、当case的数量超过一定的数值之后,就会生成大表:

这里传进来的n=3

00651845  mov         eax,dword ptr [n]  
00651848  mov         dword ptr [ebp-0C4h],eax  
0065184E  mov         ecx,dword ptr [ebp-0C4h]  
00651854  sub         ecx,1  
00651857  mov         dword ptr [ebp-0C4h],ecx  
0065185D  cmp         dword ptr [ebp-0C4h],3  
00651864  ja          $LN7+0Dh (06518ADh)  
00651866  mov         edx,dword ptr [ebp-0C4h]  
0065186C  jmp         dword ptr [edx*4+6518C4h]
00651873  push        offset string "111\n" (0657B30h)  
00651878  call        _printf (06510CDh)  
0065187D  add         esp,4  
00651880  jmp         $LN7+0Dh (06518ADh)  
00651882  push        offset string "222\n" (0657B38h)  
00651887  call        _printf (06510CDh)  
0065188C  add         esp,4  
0065188F  jmp         $LN7+0Dh (06518ADh)  
00651891  push        offset string "333\n" (0657B40h)  
00651896  call        _printf (06510CDh)  
0065189B  add         esp,4  
0065189E  jmp         $LN7+0Dh (06518ADh)  
006518A0  push        offset string "444\n" (0657B48h)  
006518A5  call        _printf (06510CDh)  
006518AA  add         esp,4  
006518AD  pop         edi  
006518AE  pop         esi  
006518AF  pop         ebx  
006518B0  add         esp,0C4h  
006518B6  cmp         ebp,esp  
006518B8  call        __RTC_CheckEsp (0651244h)  
006518BD  mov         esp,ebp  
006518BF  pop         ebp  
006518C0  ret 

先把ecx-1和第二大的值比较,如果大于就直接跳转到default

那么为什么要先让ecx-1然后去和倒数第二大的数比较,这不是多此一举吗?直接使用ecx和最大的数进行比较他不香吗?😂😂😂,这里先留个悬念,供大家思考。

否则就跳转到 dword ptr [edx*4+6518c4]的位置 

那么6518C4的位置存的什么呢?

如图所示,他存储的是651873,也就是我们需要跳转的地址

你使用edx*4一次跳4个字节,对应的正好是这个case在大表里的位置

这样,你一次比较都不需要,直接就可以用edx*4+651873查表来跳转

到这里,你应该明白为什么ecx要-1了吧?》不就是为了定位它在大表当中的位置吗!

3、交换case的顺序,改成4 2 3 1 😂😂🤣,观察大表的生成是否会发生变化?

009F1845  mov         eax,dword ptr [n]  
009F1848  mov         dword ptr [ebp-0C4h],eax  
009F184E  mov         ecx,dword ptr [ebp-0C4h]  
009F1854  sub         ecx,1  
009F1857  mov         dword ptr [ebp-0C4h],ecx  
009F185D  cmp         dword ptr [ebp-0C4h],3  
009F1864  ja          $LN7+0Dh (09F18ADh)  
009F1866  mov         edx,dword ptr [ebp-0C4h]  
009F186C  jmp         dword ptr [edx*4+9F18C4h]
009F1873  push        offset string "444\n" (09F7B30h)  
009F1878  call        _printf (09F10CDh)  
009F187D  add         esp,4  
009F1880  jmp         $LN7+0Dh (09F18ADh)  
009F1882  push        offset string "222\n" (09F7B38h)  
009F1887  call        _printf (09F10CDh)  
009F188C  add         esp,4  
009F188F  jmp         $LN7+0Dh (09F18ADh)  
009F1891  push        offset string "333\n" (09F7B40h)  
009F1896  call        _printf (09F10CDh)  
009F189B  add         esp,4  
009F189E  jmp         $LN7+0Dh (09F18ADh)  
009F18A0  push        offset string "111\n" (09F7B48h)  
009F18A5  call        _printf (09F10CDh)  
009F18AA  add         esp,4  
009F18AD  pop         edi  
009F18AE  pop         esi  
009F18AF  pop         ebx  
009F18B0  add         esp,0C4h  
009F18B6  cmp         ebp,esp  
009F18B8  call        __RTC_CheckEsp (09F1244h)  
009F18BD  mov         esp,ebp  
009F18BF  pop         ebp  
009F18C0  ret  

 

 

比如你是第一个case 1,edx就是0,然后跳转到f918a0,执行的正好是printf("111")

可以看到switch语句和顺序没有关系,大表中存放的地址是按照你数值的大小来排列的,也就是说你把case 1写后面,它还是在大表的第一个位置存储的,编译器会先帮你排序,然后再把地址放到大表里面存储。

因此对于上面大表里地址的内容如下:

9f18a0:printf("111")

9f1882:printf("222")

9f1891:printf("333")

9f1873:printf("444")

还是按照从小到达的顺序跳转的

由于我们论证了switch当中case的顺序不会影响大表的顺序,所有以后都使用默认排序。

4、当case的数值很大的时候还会生成大表吗?

00DE1845  mov         eax,dword ptr [n]  
00DE1848  mov         dword ptr [ebp-0C4h],eax  
00DE184E  mov         ecx,dword ptr [ebp-0C4h]  
00DE1854  sub         ecx,65h  
00DE1857  mov         dword ptr [ebp-0C4h],ecx  
00DE185D  cmp         dword ptr [ebp-0C4h],3  
00DE1864  ja          $LN7+0Dh (0DE18ADh)  
00DE1866  mov         edx,dword ptr [ebp-0C4h]  
00DE186C  jmp         dword ptr [edx*4+0DE18C4h]
00DE1873  push        offset string "111\n" (0DE7B30h)  
00DE1878  call        _printf (0DE10CDh)  
00DE187D  add         esp,4  
00DE1880  jmp         $LN7+0Dh (0DE18ADh)  
00DE1882  push        offset string "222\n" (0DE7B38h)  
00DE1887  call        _printf (0DE10CDh)  
00DE188C  add         esp,4  
00DE188F  jmp         $LN7+0Dh (0DE18ADh)  
00DE1891  push        offset string "333\n" (0DE7B40h)  
00DE1896  call        _printf (0DE10CDh)  
00DE189B  add         esp,4  
00DE189E  jmp         $LN7+0Dh (0DE18ADh)  
00DE18A0  push        offset string "111\n" (0DE7B48h)  
00DE18A5  call        _printf (0DE10CDh)  
00DE18AA  add         esp,4  
00DE18AD  pop         edi  
00DE18AE  pop         esi  
00DE18AF  pop         ebx  
00DE18B0  add         esp,0C4h  
00DE18B6  cmp         ebp,esp  
00DE18B8  call        __RTC_CheckEsp (0DE1244h)  
00DE18BD  mov         esp,ebp  
00DE18BF  pop         ebp  
00DE18C0  ret  

 

可以看到仍然可以生成大表,只需要ecx-65就可以定位到元素在大表当中的位置了

由此可以论证只要是连续的/比较接近的数值,可以生成大表

5、那么离散的情况呢?

我们测试101 104 105 106的情况,即中间缺少了2个连续的项

00811845  mov         eax,dword ptr [n]  
00811848  mov         dword ptr [ebp-0C4h],eax  
0081184E  mov         ecx,dword ptr [ebp-0C4h]  
00811854  sub         ecx,65h  
00811857  mov         dword ptr [ebp-0C4h],ecx  
0081185D  cmp         dword ptr [ebp-0C4h],5  
00811864  ja          $LN7+0Dh (08118ADh)  
00811866  mov         edx,dword ptr [ebp-0C4h]  
0081186C  jmp         dword ptr [edx*4+8118C4h]

 

 我们发现它依然会生成大表,而且空缺的那两个不连续的项,编译器不是填0,而是填上default的跳转地址。

6、如果只保留头和尾,把中间项都删掉呢?

即:401 409,中间都删除了:

00411845  mov         eax,dword ptr [n]  
00411848  mov         dword ptr [ebp-0C4h],eax  
0041184E  mov         ecx,dword ptr [ebp-0C4h]  
00411854  sub         ecx,65h  
00411857  mov         dword ptr [ebp-0C4h],ecx  
0041185D  cmp         dword ptr [ebp-0C4h],9  
00411864  ja          $LN7+0Dh (04118B4h)  
00411866  mov         edx,dword ptr [ebp-0C4h]  
0041186C  movzx       eax,byte ptr [edx+4118DCh]  
00411873  jmp         dword ptr [eax*4+4118C8h]

我们需要注意这一行代码:

00411866  mov         edx,dword ptr [ebp-0C4h]  
0041186C  movzx       eax,byte ptr [edx+4118DCh]  
00411873  jmp         dword ptr [eax*4+4118C8h]

 

大表下面的这个按照字节进行检索的就是小表。

当删除到一定程度的时候,就把大表精简了,把default部分删除掉,使用小表来辅助:

小表就是紧挨着大表下面存储的,可以节省空间,因为它是按照字节来存储跳转的default地址的,可以看到它存的都是04,用来跳转到default,节省一些空间。

7、毫不连续的情况:

120 45 310 88

肯定就是按照if..else的方式来生成汇编代码,因为你不管是大表小表都对性能提升没有上面意义,所以直接转化成if..else语句即可。

总结:什么情况下使用switch?

》越连续连续;越相近越好;常量最好是连续挨在一起!

至此,我们完成了今天的逆向任务!喜欢的话多多点赞关注吧!🧡🧡🧡


http://www.ppmy.cn/news/269416.html

相关文章

GitHub 项目精选(2022.5.18更新)

写在前面 看到这个项目的同好们如果有推荐的 Github 项目或是觉得有用、有趣的网站等都可以发起 issue 或 PR。 友情链接: ruanyf / weekly GrowingGit / GitHub-Chinese-Top-Charts 有趣项目 chrislgarry / Apollo-11 阿波罗 11 号。 YunYouJun / air-condit…

浏览器缓存的几种方式!

浏览器缓存 浏览器缓存主要包含 cookie、 在 HTML5 新标准中新增了本地存储 localStorage 和会话存储 sessionStorage。 cookie 什么是 cookie? cookie 是一些缓存数据,主要存储在你的电脑中。当你发起网络请求时也会携带当前域名端口下的 cookie 信…

浅析云计算数据中心动力环境监控系统-Susie 周

1、动力环境监控系统概述 数据中心是云计算的主要载体,其中动力环境监控系统是数据中心保障通信设备正常、稳定运行的重要基础设施,动力环境监控系统失效,可能会造成数据灾难事故。 1)系统概述 机房动力环境监控系统是运用计算…

MYSQL必知必会,详尽入门,一文帮你学会SQL必知必会

目录 前言 数据库的概念和术语 SQL语言和组成 DDL show : 展示当前已有的数据库或者表 create :创建一个数据库或者一个表 drop :删除表、数据库对象或者视图 alter :修改现有的数据库对象,例如 修改表的属性或者字段 (…

面向对象设计中的七大设计原则与二十三种设计模式

目录 七大设计原则单一职责原则内涵与目的涉及的知识点例子 开闭原则定义实现例子 依赖倒转原则定义传统过程式设计面向对象设计与开闭原则的联系例子 里氏替换原则定义与意义四层含义例子 接口隔离原则定义例子 合成复用原则定义继承复用与组合/聚合复用的区别涉及的知识点例子…

夜景

【拍摄日期:2009-10-01 00:03,焦距:28mm,光圈:F/4.5,曝光时间:0.8秒,ISO:800,测距模式:图案】 半夜去接人,随手拍下的夜景…

Windows 7 33in1 V1.2

1、简体中文,With SP1。32位、64位各1个DVD; 2、在MSDN官方原版基础上添加OEM资料制作而成,未进行其他删减或增加。 3、更新PE3.0(WINGWY的V3版,致谢),PE的程序移至开始菜单; 4、除Admin版本外&…

索尼A330的几种手动模式小解

主要是通过调整光圈和快门速度,对曝光量进行调节。 P——编程自动模式 该模式大概相当于一种半自动模式吧,曝光量是自动调节的,只能对其它一些相关参数进行调节了。 A——光圈优先模式 适用于清晰地对焦被摄物,虚化其它景物&…