在逆向遇到NEG+SBB指令的組合,不明白原因,上網一查,找到了.嘿嘿!
mov ebx, eax
neg ebx
push esi
sbb bl, bl
注:Intel處理器的文檔中聲明NEG指令除了對操作數作符號取反外,它還要根據操作數的值設置CF標志位的值。如果執行NEG指令時操作數為0,則CF將被置為0。如果操作數為非零,則CF將被置為1。
NEG是一個簡單的取反指令,用來對操作數的算術符號取反——有時候也稱它為2的補碼(two’s complement。譯注:1的補碼與NOT指令對應,是邏輯取反指令)。NEG用C描述的偽代碼:
Result = -(Operand);
SBB是一條帶借位的減法指令,這就是說SBB將第二個操作數(即右操作數)加上標志位CF,然后將結果用第一個操作數來減。SBB用C描述的偽代碼:
Operand1 = Operand1 - (Operand2 + CF);
在上面的指令中NEG的作用應該就是注中的,根據操作數來設置CF標志位的值,如果EBX為0,那么CF將被置為0,如果EBX為非零,則CF將被置為1.然后結合SBB,我們可以將以上4條指令理解為,當EBX等于0時,BL將等于0;EBX大于0時,BL將等于-1.
參考:Reversing:逆向工程揭密-附錄A揭密代碼結構(4)
// 對返回數進行處理,這是編譯器優化的結果,翻譯成C可能是
// if (eax)
// return 1 ;
// else
// return 0 ;
// 求反.執行NEG指令時操作數為0,則CF將被置為0。如果操作數為非零,則CF將被置為1
/*41A72D*/ NEG EAX
// 高位借位減法,EAX的值取決于前面的neg指令。對同一個操作數執行減運算,
// 即用EAX寄存器減去EAX,如果不考慮標志位CF的話,這條指令在數學上是沒有任何意義的。
// 因為將CF加到了第二個操作數上,所以結果只取決于CF。如果“CF == 1”,那么EAX將變成-1
/*41A72F*/ SBB EAX,EAX
/*41A731*/ NEG EAX // 如果EAX=0,非0可能是-1了,取反后就返回1