if 识别
先介绍一个汇编指令
cmp(Compare)比较指令
CMP 把一个寄存器的内容和另一个寄存器的内容或立即数进行比较。但不存储结果,只是正确的更改标志。
一般CMP做完判断后会进行跳转,后面通常会跟上B指令!
比较 w0 和 w1 的值。
0x100c728c8 <+20>: cmp w0, w1
0x100c728cc <+24>: b.le 0x100c728e4 ; <+48> at main.m
0x100c728d0 <+28>: adrp x8, 2
0x100c728d4 <+32>: add x8, x8, #0xd08 ; =0xd08
0x100c728d8 <+36>: ldr w9, [sp, #0xc]
0x100c728dc <+40>: str w9, [x8]
0x100c728e0 <+44>: b 0x100c728f4 ; <+64> at main.m:20
0x100c728e4 <+48>: adrp x8, 2
0x100c728e8 <+52>: add x8, x8, #0xd08 ; =0xd08
0x100c728ec <+56>: ldr w9, [sp, #0x8]
0x100c728f0 <+60>: str w9, [x8]
0x100c728f4 <+64>: add sp, sp, #0x10 ; =0x10
0x100c728f8 <+68>: ret
cmp
cmp w0,w1;
相当于做一个减法,w0 -w1,与 sub 指令不同的是 cmp 不存储结果,不会更改w0 和 w1 的值,只是正确的更改标记寄存器的标志。
减法作用就是用来比较。
B/BL 与 B.LE 跳转指令。
B/BL 在跳转之前会保存 lr 即 x29 的值(返回的地址)
B.LE 0x100c728e4
当 cmp 结果<=0 时,走这里,> 0 则走 b 上面。
- BL 标号:跳转到标号处执行
- B.GT 标号:比较结果是大于(greater than),执行标号,否则不跳转
- B.GE 标号:比较结果是大于等于(greater than or equal to),执行标号,否则不跳转
- B.EQ 标号:比较结果是等于,执行标号,否则不跳转
- B.HI 标号:比较结果是无符号大于,执行标号,否则不跳转
还原原始代码
原始代码:
int f = 100;
void func (int a, int b){
if (a > b) {
f = a;
}else{
f = b;
}
}
/*** 还原if ***/
//全局变量
int g = 100;// 动态调试得到
void func2 (int a,int b){
//
//__text:00000001000068B4
//__text:00000001000068B4 EXPORT _func
//__text:00000001000068B4 _func ; CODE XREF: _main+24↓p
//__text:00000001000068B4
//__text:00000001000068B4 var_8 = -8
//__text:00000001000068B4 var_4 = -4
//__text:00000001000068B4
//__text:00000001000068B4 SUB SP, SP, #0x10
//__text:00000001000068B8 STR W0, [SP,#0x10+var_4]
//__text:00000001000068BC STR W1, [SP,#0x10+var_8]
int var_4 = a;
int var_8 = b;
//__text:00000001000068C0 LDR W0, [SP,#0x10+var_4]
//__text:00000001000068C4 LDR W1, [SP,#0x10+var_8]
int w0 = var_4;
int w1 = var_8;
//__text:00000001000068C8 CMP W0, W1
//__text:00000001000068CC B.LE loc_1000068E4
if (a > b) {
//全局变量
//int g = 12;
//__text:00000001000068CC ; [0000001C BYTES: END OF AREA Node #0. PRESS KEYPAD "-" TO COLLAPSE]
//__text:00000001000068D0 ADRP X8, #_f@PAGE
//__text:00000001000068D4 ADD X8, X8, #_f@PAGEOFF
// 得到 x8, 也就是 全局变量 g
int * x8 = &g; // x8 为地址,* 取值。
//__text:00000001000068D8 LDR W9, [SP,#0x10+var_4]
int w9 = var_4;
//__text:00000001000068DC STR W9, [X8]
w9 = *x8;// *x8 取值
//__text:00000001000068E0 B loc_1000068F4
}else{
//__text:00000001000068E4 ADRP X8, #_f@PAGE
//__text:00000001000068E8 ADD X8, X8, #_f@PAGEOFF
//__text:00000001000068EC LDR W9, [SP,#0x10+var_8]
int w9 = var_8;
//__text:00000001000068F0 STR W9, [X8] // [x8] 取值
// x8 = w9; 也就是如下:
g = w9;
}
// 标记标号
//__text:00000001000068E4 ; ---------------------------------------------------------------------------
//__text:00000001000068E4
//__text:00000001000068E4 loc_1000068E4 ; CODE XREF: _func+18↑j
//__text:00000001000068F4
//__text:00000001000068F4 loc_1000068F4 ; CODE XREF: _func+2C↑j
//__text:00000001000068F4 ADD SP, SP, #0x10
//__text:00000001000068F8 RET
//__text:00000001000068F8 ; End of function _func
}
简化后的代码则为:
int g = 100;
void func (int a, int b){
if (a > b) {
g = a;
}else{
g = b;
}
}
与 原始代码:
int f = 100;
void func (int a, int b){
if (a > b) {
f = a;
}else{
f = b;
}
}
循环&选择
Switch
1、假设switch语句的分支比较少的时候(例如3,少于4的时候没有意义)没有必要使用此结构,相当于if。
2、各个分支常量的差值较大的时候,编译器会在效率还是内存进行取舍,这个时候编译器还是会编译成类似于if,else的结构。
3、在分支比较多的时候:在编译的时候会生成一个表(跳转表每个地址四个字节)。
如下代码:
三层分支:
void funcA (int a) {
switch (a) {
case 4:
printf("NO 1");
break;
case 5:
printf("NO 2");
break;
case 6:
printf("NO 3");
break;
// case 10:
// printf("NO 4");
// break;
default:
printf("Default 啥也不干!!!");
break;
}
}
四层分支:
void funcA (int a) {
switch (a) {
case 3:
printf("NO 1");
break;
case 5:
printf("NO 2");
break;
case 8:
printf("NO 3");
break;
case 10:
printf("NO 4");
break;
default:
printf("Default 啥也不干!!!");
break;
}
}
int main(int argc, char * argv[]) {
funcA(11);
}
汇编部分:
四个分支以上的条件判断
0x(ff - bc) = 0x44
x8 = 0x00000001021868a4 - 0x44 = 0x102186860
注:x9 为5,二进制则为101,左移两位101000即为20;
注:上面算错了,x8 的值已经改变了,x8 = 0x00000001044c28b4 - 0x58 = 0x1044C285C
ldrsw x10, [x8, x9, lsl #2]
ldrsw x10, [x8, x9, lsl #2]
右边 赋值给 x10;
[x8, x9, lsl #2] 具体阐释为:
以 x8 作为基地址,加上 x9 左移 2 位;
x8 + (x9 左移两位(4/100))
设定 x9 = 1;整条指令即为 :x10 = [x8 + 4 ]
LDR指令的格式:
LDR{条件} 目的寄存器 <存储器地址>
作用:将 存储器地址 所指地址处连续的4个字节(1个字)的数据传送到目的寄存器中。
ldrsw
带”S”表示需要符号扩展.
w: word
汇编基础不好,理解这个过程尤为艰难,来来回回浪费不少时间,怪自己太笨了吧!
通过上面的计算就找到了执行的结果,为什么呢?
上面的计算最核心的 x8,x8 为固定位置,通过每次传入的参数计算偏移的位置,跳转, 到底减去多少?再去执行相应的结果,都在内存放着,如下图:
- case 为连续值(1,2,3,4,传入 2)的情况
- case不连续差值不大的情况
- case不连续差值很大的情况,类似 if 判断
-
- case 如果为连续的则结果就在连着,相当于一张表,每次传入不同的参数,偏移不同的位置,得到不同的跳转地址,执行结果;
-
- 如果为不连续,中间存放的为 Default 情况的地址;
-
- 如果case 差值过大,则会编译为 if else 的结构,失去了 Switch 本身的意义。
后记:一个Switch 对于脑子不灵活的人像我弄明白也需要不少时间,哎!路漫漫其修远兮,吾将上下而求索!!!