在逆向工程中，字符数组和字符串的处理是一个重要的方面。字符数组通常是由相同类型的数据元素组成的集合，存储在连续的内存空间中，而字符串则是字符数组的一种特殊形式，用于表示文本信息。字符数组和字符串的区别主要体现在它们的定义、使用方式以及内存管理上。从逆向工程的角度来看，字符数组和字符串的差异可以通过分析汇编代码、内存布局、以及程序运行时的行为来进一步理解。这种差异会在二进制级别影响程序的结构、数据操作方式和函数调用。下面我们先给出一个C代码例子：

#include<stdio.h>
#include<stdlib.h>
​
int main() {char arr[6] = { 'W', 'o', 'l', 'v', 'e', 'n' };char str[] = "wolven";system("pause");return 0;
}

接着我们对这个代码进行编译生成exe文件，接着使用IDA工具进行逆向分析。

字符数组：

字符数组是一组连续的字符元素，存储在内存中的相邻位置。例如：

char arr[6] = {'W', 'o', 'l', 'v', 'e', 'n'};

arr 是一个字符数组，它包含 6 个字符，它不会自动添加空字符作为结束标志。字符数组在内存中按顺序存储字符元素。由于它不一定需要以空字符 \0 结尾，因此逆向工程时不能直接依赖 \0 来确定数组的结束位置。我们需要依靠上下文或程序中使用的索引来判断数组的长度。汇编代码中，字符数组的初始化通常是通过一个 mov 指令序列来逐个将字符放入内存地址。对上述程序进行逆向分析可以得到如下代码：

mov     [ebp+var_C], 57h ; 'W'
mov     [ebp+var_B], 6Fh ; 'o'
mov     [ebp+var_A], 6Ch ; 'l'
mov     [ebp+var_9], 76h ; 'v'
mov     [ebp+var_8], 65h ; 'e'
mov     [ebp+var_7], 6Eh ; 'n'

可以看到字符数组的初始化这里直接向内存地址写入字符，没有自动附加的终止符。

字符串

在 C 语言中，字符串是以空字符 \0 结尾的字符数组。字符串可以通过字符串常量来定义：

char str[] = "wolven";

在这个例子中，str 是一个字符串，它等价于一个包含 {'w', 'o', 'l', 'v', 'e', 'n','\0'} 的字符数组。字符串的结尾会自动由 \0 标记，这也是区别字符串和普通字符数组的关键。逆向时，当你遇到一个以 \0 结尾的字符序列时，可以确定这是一个字符串常量，这个是字符串的显著特征，在逆向过程中很容易识别。字符串的初始化常常通过块拷贝的方式进行，即一次性将整个字符串（包括 \0）写入内存。如上述的C代码对应的汇编代码可能会通过类似 mov 指令加载整个字符串：

mov     eax, dword ptr ds:aWolven ; "wolven"
mov     [ebp+var_1C], eax
mov     cx, word ptr ds:aWolven+4 ; "en"
mov     [ebp+var_18], cx
mov     dl, byte ptr ds:aWolven+6 ; ""
mov     [ebp+var_16], dl

这段汇编代码显示了字符串的初始化过程：从内存中的字符串 "wolven" 中提取内容，并将其存储在栈上的过程。mov eax, dword ptr ds:aWolven ; "wolven"：从 ds 段（数据段）加载一个指针或常量值，该值是以 "wolven" 为起始的4字节（32位）数据，存入寄存器 eax；也就是将 "wolv" (4字节) 放入 eax 寄存器中。然后将eax中的内容再存入栈中。这就是一个拷贝的过程，接着就是将剩下的"en"和\0(空)分别存入栈空间。这就是字符串初始化的分步拷贝的过程。