Фундаментальные основы хакерства. Практикуемся в поиске циклов при реверсе

Сегодня мы с тобой научимся находить любые типы циклов в коде реальных программ на языках высокого уровня — построенных с оптимизацией и без нее. Это шаг, с которым ты столкнешься при обратной разработке приложений. При этом определение цикла — это только полдела. Далее нужно разобраться в его механизме, выделить используемые данные и корректно декомпилировать, превратив в стройный код на языке высокого уровня. Без этого точное понимание алгоритма программы невозможно.

ЦИКЛЫ WHILE/DO

Visual C++ 2022 с отключенной оптимизацией

Для закрепления пройденного в прошлой статье материала рассмотрим несколько живых примеров. Начнем с самого простого — идентификации циклов while/do:

#include <stdio.h>

int main()

{

int a = 0;

while (a++ < 10)

printf("Оператор цикла while\n");

do {

printf("Оператор цикла do\n");

} while (--a > 0);

}

Откомпилируем этот код с помощью Visual C++ 2022 с отключенной оптимизацией.

Результат компиляции должен выглядеть примерно так:

; int __cdecl main(int argc, const char **argv, const char **envp)

main proc near ; CODE XREF: __scrt_common_main_seh+107↓p

; DATA XREF: .pdata:0000000140004018↓o

var_18 = dword ptr -18h

var_14 = dword ptr -14h

; Резервируем память для двух локальных переменных,

; Только откуда взялась вторая?

sub rsp, 38h

; Заносим в переменную var_18 значение 0

; Следовательно, это переменная a

mov [rsp+38h+var_18], 0

Ниже следует перекрестная ссылка — loc_1400010EC, направленная вниз. Это говорит нам о том, что перед нами начало цикла. Поскольку перекрестная ссылка направлена вниз, то переход, ссылающийся на этот адрес, будет направлен вверх!

loc_1400010EC: ; CODE XREF: main+31↓j

; Загружаем в EAX значение переменной a (var_18)

mov eax, [rsp+38h+var_18]

; Загружаем в var_14 значение переменной a, вот, мы нашли,

; где используется вторая переменная

mov [rsp+38h+var_14], eax

; Зачем-то снова загружаем то же значение в регистр EAX

mov eax, [rsp+38h+var_18]

; Увеличение значения в регистре EAX на 1

inc eax

; Загружаем значение из регистра EAX в переменную var_18 ("a")

mov [rsp+38h+var_18], eax

; Сравниваем старое (до обновления) значение переменной a,

; ранее сохраненное в var_14, с числом 0xA

cmp [rsp+38h+var_14], 0Ah

Если (var_14 >= 0xA), делаем прыжок «вперед», непосредственно за инструкцию безусловного перехода, направленного «назад». Если выполняется прыжок «назад», значит, это цикл, а поскольку условие выхода из цикла проверяется в его начале, то это цикл с предусловием.

Для его отображения на цикл while необходимо инвертировать условие выхода из цикла на условие продолжения цикла, другими словами, исправить >= на <.

Сделав это, мы получаем: while (a++ < 0xA)....

jge short loc_140001113

; Начало тела цикла:

; заносим ссылку на строку "Оператор цикла while\n"

lea rcx, _Format ; _Format

; Выводим на консоль

call printf

; Безусловный переход, направленный назад, на метку loc_1400010EC — в начало цикла,

; в область подготовки переменных для проверки

jmp short loc_1400010EC

Между loc_1400010EC и jmp short loc_1400010E есть только одно условие выхода из цикла: jge short loc_140001113. Значит, исходный код цикла выглядел так:

while (a++ < 0xA) printf("Оператор цикла while\n");

Далее следует начало цикла с постусловием. Однако на данном этапе мы этого еще не знаем, хотя и можем догадаться благодаря наличию перекрестной ссылки, направленной вниз.

loc_140001113: ; CODE XREF: main+23↑j

; main+4E↓j

Ага, никакого условия в начале цикла не присутствует, значит, это цикл с условием в конце или в середине.

; Заносим ссылку на строку "Оператор цикла do\n"

lea rcx, byte_140002278 ; _Format

; Печатаем в консоли

call printf

; Тело цикла

; Загружаем в EAX значение переменной var_18 ("a")

mov eax, [rsp+38h+var_18]

; Уменьшаем значение в EAX на 1

dec eax

; Возвращаем значение из EAX в переменную a — var_18

mov [rsp+38h+var_18], eax

; Сравниваем переменную a с нулем

cmp [rsp+38h+var_18], 0

; Если (a > 0), делаем переход в начало цикла

jg short loc_140001113

Поскольку условие расположено в конце цикла, это цикл do:

do printf("Оператор цикла do\n");

while (--a > 0);

; Возвращаем 0

xor eax, eax

; Восстанавливаем стек

add rsp, 38h

retn

main endp

Visual C++ 2022 с включенной оптимизацией

Совсем другой результат получится, если включить оптимизацию. Откомпилируем тот же самый пример с ключом /O2 (максимальная оптимизация: приоритет скорости) и посмотрим на результат, выданный компилятором:

; int __cdecl main(int argc, const char **argv, const char **envp)

main proc near ; CODE XREF: __scrt_common_main_seh+107↓p

; DATA XREF: .pdata:000000014000400C↓o

; Сохраняем регистр в стеке

push rbx

; Подготавливаем стек, ни одной локальной переменной не объявлено

sub rsp, 20h

; В EBX кладем число 0xA. Для чего, пока неясно

mov ebx, 0Ah

nop dword ptr [rax+rax+00h]

; Судя по следующей перекрестной ссылке, направленной вниз, это цикл!

loc_140001080: ; CODE XREF: main+20↓j

; Заносим в регистр RCX ссылку на строку "Оператор цикла while\n"

lea rcx, _Format ; _Format

; Выводим строку на терминал

call printf

; Если это тело цикла, то где же предусловие?!

; Вычитаем из RBX число 1

sub rbx, 1

; Получается, что число 0xA, помещенное в EBX ранее, было начальным значением

Инструкция SUB подобно CMP изменяет состояние флага нуля. Если в результате вычитания получается 0, флаг нуля возводится в единицу. Следующая инструкция совершает прыжок назад, когда флаг не возведен, то есть в результате вычитания регистр RBX не стал равен нулю.

jnz short loc_140001080

Компилятор в порыве оптимизации превратил неэффективный цикл с предусловием в более компактный и быстрый цикл с постусловием. Имел ли он на это право? А почему нет?! Проанализировав код, компилятор понял, что этот цикл выполняется по крайней мере один раз. Следовательно, скорректировав условие продолжения, его проверку можно вынести в конец цикла.

Также в исходном тексте был инкремент счетчика цикла от нуля до 0xA, а в подготовленном транслятором коде мы видим обратный эффект: декремент счетчика от 0xA до нуля. Таким образом, компилятор while ((int a=0)+1) < 10) printf(...) заменил do printf(...) while ((int a=10)-1) > 0).

Причем, что интересно, он не сравнивал переменную цикла с константой, а поместил константу в регистр и уменьшал его до тех пор, пока тот не стал равен нулю! Зачем? А затем, что так короче, да и работает быстрее.

Хорошо, но как нам декомпилировать этот цикл? Непосредственное отображение на язык C/C++ дает следующую инструкцию:

var_RBX = 0xA;

do {

printf("Оператор цикла while\n");

var_RBX--;

} while (var_RBX > 0);

Вполне красивый и оптимальный цикл с одной переменной.

; Значение 0xB помещаем в регистр EBX. Это подготовка к следующему циклу

; Этот код выполняется после завершения предыдущего цикла

mov ebx, 0Bh

nop word ptr [rax+rax+00000000h]

; Перекрестная ссылка, направленная вниз, говорит нам о том, что это начало цикла

loc_1400010A0: ; CODE XREF: main+40↓j

; Предусловия нет, значит, это цикл do

; Заносим в регистр RCX ссылку на строку "Оператор цикла do\n"

lea rcx, byte_140002278 ; _Format

; Выводим строку на терминал

call printf

; Уменьшаем значение, загруженное в EBX, на единицу

dec ebx

; Проверяем EBX на равенство нулю

test ebx, ebx

; Продолжаем выполнение цикла, пока EBX > 0

jg short loc_1400010A0

Этот цикл прямиком отображается в конструкцию языка C/C++:

var_EBX = 0xB;

do { printf("Оператор цикла do\n"); }

while (--var_EBX > 0);

; Возвращаем ноль

xor eax, eax

; Восстанавливаем стек

add rsp, 20h

; Восстанавливаем регистр

pop rbx

retn

main endp

C++Builder 10 без оптимизации

Несколько иначе обрабатывает циклы компилятор Embarcadero C++Builder 10.4. Смотри пример while-do_cb:

; int __cdecl main(int argc, const char **argv, const char **envp)

public main

main proc near ; DATA XREF: __acrtused+29↑o

; Объявляем шесть переменных

var_1C = dword ptr -1Ch

var_18 = dword ptr -18h

var_14 = dword ptr -14h

var_10 = qword ptr -10h

var_8 = dword ptr -8

var_4 = dword ptr -4

; Сохраняем в стеке RBP

push rbp

; Резервируем память для локальных переменных

sub rsp, 40h

; Помещаем в RBP указатель на дно стека

lea rbp, [rsp+40h]

; Инициализируем переменные:

; в var_4 записывает 0, вероятно, это переменная a из исходного кода

mov [rbp+var_4], 0

mov [rbp+var_8], ecx

mov [rbp+var_10], rdx

; Еще одна переменная, изначально равная нулю, возьмем на заметку

mov [rbp+var_14], 0

; Ниже перекрестная ссылка, направленная вниз, значит, это начало какого-то цикла

loc_40141F: ; CODE XREF: main+3E↓j

; В начале цикла условие не обнаружено, видимо, цикл с постусловием,

; хотя не будем спешить с выводами

; В регистр EAX копируем значение из переменной var_14

mov eax, [rbp+var_14]

; Копирование EAX в ECX

mov ecx, eax

; Увеличиваем значение в регистре ECX на 1

add ecx, 1

; Увеличенное значение из регистра ECX копируем в переменную var_14,

; из которой берется значение для счетчика в начале итерации

mov [rbp+var_14], ecx

; Сравнение неувеличенного значения с 0хА

cmp eax, 0Ah

; Если это значение больше константы или равно ей,

; выполняем прыжок за пределы цикла в область старших адресов

jge short loc_401440

; В случае продолжения выполнения помещаем ссылку на строку в регистр

; и выводим ее на консоль

lea rcx, aOperatorIklaWh ; "Оператор цикла while\n"

call printf

; Зачем-то сохраняем текущее значение регистра EAX в переменной var_18...

mov [rbp+var_18], eax

; ... и выполняем безусловный переход в начало цикла

jmp short loc_40141F

Вот так‑то C++Builder оптимизировал код! Начальный цикл с предусловием выполнения он превратил в бесконечный цикл с условием выхода посередине (за подробностями обратись к прошлой статье)! Как мы можем декомпилировать этот цикл? Напрашивается такой вариант:

int var_14 = 0;

do {

int var_EAX = var_14;

int var_ECX = var_EAX;

var_ECX++;

var_14 = var_ECX;

if (var_EAX >= 0xA) break;

printf("Оператор цикла while\n");

} while (TRUE);

Этот вариант кардинально отличается от первоначального, и я очень сомневаюсь, что в лучшую сторону! Что ж, издержки производства...

; --------------------------------

loc_401440: ; CODE XREF: main+2D↑j

; Сюда происходит переход при выходе из предыдущего цикла

; Как мы знаем, эта инструкция только переводит управление через себя

jmp short $+2

; --------------------------------

loc_401442: ; CODE XREF: main:loc_401440↑j

; main+5D↓j

; Новый цикл!

; Как видим, он начинается с вывода строки, нет условия, значит, цикл с постусловием

lea rcx, aOperatorIklaDo ; "Оператор цикла do\n"

call printf

Проматываем дизассемблерный листинг вверх, чтобы вспомнить, какое значение находится в регистре EAX. Значит, в этом месте программы значение в регистре EAX равно 0хА. Записываем это значение в переменную var_1C (непонятно, для каких целей, ведь в будущем она не используется). Выходит, локальную переменную a исходной программы представляет регистровая переменная EAX.

mov [rbp+var_1C], eax

; Записываем в регистр EAX значение переменной var_14

; А в ней содержится значение на 1 больше, чем в EAX! То есть 0xB

mov eax, [rbp+var_14]

; Какой хитрый C++Builder!

; Вместо реального вычитания он прибавляет к значению в EAX -1

add eax, 0FFFFFFFFh

; Присваивает результат переменной var_14

mov [rbp+var_14], eax

; И сравнивает уменьшенное значение с нулем

cmp eax, 0

; Если (EAX > 0), то мы прыгаем назад к началу «нового цикла»

; и осуществлению очередной итерации

jg short loc_401442

Во что C++Builder превратил изначальный цикл с постусловием? В целом никаких изменений он не внес, оставив все на своих местах. И декомпилированный листинг этого цикла должен выглядеть примерно так:

var var_14 = 0xB;

do

{

int var_EAX = var_14;

var_EAX--;

var_14 = var_EAX;

printf("Оператор цикла while\n");

} while (var_EAX > 0);

; В ином случае, когда (EAX <= 0), пропускаем переход

; и продолжаем выполнение кода программы

mov [rbp+var_4], 0

; Возвращаем ноль

mov eax, [rbp+var_4]

; Восстанавливаем стек

add rsp, 40h

; Восстанавливаем регистр

pop rbp

retn

main endp

C++Builder 10 с оптимизацией

И совсем прямолинейный код транслирует C++Builder с включенной оптимизацией по скорости.

; int __cdecl main(int argc, const char **argv, const char **envp)

public main

main proc near ; DATA XREF: __acrtused+29↑o

push rbp

push rsi

sub rsp, 28h

lea rbp, [rsp+20h]

lea rsi, aOperatorIklaWh ; "Оператор цикла while"

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

lea rsi, aOperatorIklaDo ; "Оператор цикла do"

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

mov rcx, rsi

call puts

xor eax, eax

add rsp, 28h

pop rsi

pop rbp

retn

main endp

Без всяких ухищрений этот код десять раз выводит строку «Оператор цикла while» и одиннадцать — строку «Оператор цикла do». Быть максимально простым значит быть максимально быстрым!

Delphi 10

На закуску посмотрим, как разбирается с циклами Embarcadero Delphi 10 (пример while_repeat_d). Немного изменим код, чтобы его проглотил компилятор:

program while_repeat_d;

{$APPTYPE CONSOLE}

{$R *.res}

uses

System.SysUtils;

var

a : Integer;

begin

a := 0;

while a < 10 do

begin

writeln('Оператор цикла while');

a := a + 1;

end;

repeat

writeln('Оператор цикла repeat/until');

a := a - 1;

until a < 0;

end.

Для удобства скомпилим с дебажной информацией, и для начала — с отключенной оптимизацией.

Посмотрим на результат в дизассемблере:

public _ZN14While_repeat_d14initializationEv

_ZN14While_repeat_d14initializationEv proc near

; DATA XREF: HEADER:0000000000400128↑o

; .pdata:0000000000448328↓o

; __unwind { // _ZN6System23_DelphiExceptionHandlerEPNS_16TExceptionRecordEyPvS2_

; Блок кода инициализации приложения

push rbp

sub rsp, 20h

mov rbp, rsp

mov rax, cs:off_432120

mov byte ptr [rax], 1

nop

lea rcx, qword_429080

call _ZN7Sysinit8_InitExeEPv

; Инициализация переменной a

mov cs:_ZN14While_repeat_d1aE, 0

Далее идет ее сравнение с числом 0xA. Можно подумать, что мы имеем цикл с предусловием, однако не будем торопиться с выводами. Ведь мы еще не встретили ни одной перекрестной ссылки!

cmp cs:_ZN14While_repeat_d1aE, 0Ah

; Если (a >= 0xA), пропускаем последующий цикл и переходим к следующему блоку кода

jge short loc_428FA2

loc_428F72: ; CODE XREF: _ZN14While_repeat_d14initializationEv+60↓j

; Перекрестная ссылка говорит нам о начале цикла

; Ниже идет блок кода для вывода строки, не будем на нем подробно останавливаться...

mov rcx, cs:off_431F40

lea rdx, dword_42900C

call _ZN6System14_Write0UStringERNS_8TTextRecENS_13UnicodeStringE

mov rcx, rax

call _ZN6System8_WriteLnERNS_8TTextRecE

call _ZN6System8__IOTestEv

; ... здесь он заканчивается и переменная а увеличивается на 1

add cs:_ZN14While_repeat_d1aE, 1

; Сверка получившегося значения с 0xA, значит, все-таки имеем цикл с постусловием,

; компилятор изменил цикл с предусловием, который был в исходном коде!

cmp cs:_ZN14While_repeat_d1aE, 0Ah

; Если (a < 0xA), прыгаем назад в начало цикла

jl short loc_428F72

loc_428FA2: ; CODE XREF: _ZN14While_repeat_d14initializationEv+30↑j

Сюда происходит переход после завершения предыдущего цикла, а также в случае, если при проверке перед входом в цикл оказывается, что переменная a больше значения 0хА либо равна ему.

nop

loc_428FA3: ; CODE XREF: _ZN14While_repeat_d14initializationEv+91↓j

; Перекрестная ссылка — явный намек на начало цикла

; Он начинается с блока кода вывода строки, значит, имеем дело с циклом с постусловием

mov rcx, cs:off_431F40

lea rdx, dword_429044

call _ZN6System14_Write0UStringERNS_8TTextRecENS_13UnicodeStringE

mov rcx, rax

call _ZN6System8_WriteLnERNS_8TTextRecE

call _ZN6System8__IOTestEv

; Уменьшаем значение переменной a на 1

sub cs:_ZN14While_repeat_d1aE, 1

; Сравниваем ее значение с нулем

cmp cs:_ZN14While_repeat_d1aE, 0

; Если (a >= 0), переходим в начало цикла...

jge short loc_428FA3

; когда переменная примет значение меньше нуля,

; выполняем блок кода завершения приложения

call _ZN6System6_Halt0Ev

; --------------------------------

jmp short loc_428FE2

; --------------------------------

align 4

call _ZN6System19_UnhandledExceptionEv

; --------------------------------

align 2

loc_428FE2: ; CODE XREF: _ZN14While_repeat_d14initializationEv+98↑j

lea rsp, [rbp+20h]

pop rbp

retn

; } // starts at 428F40

_ZN14While_repeat_d14initializationEv endp

Как оказалось, оптимизированный вариант ничем не отличается от текущего, поэтому рассматривать первый нет никакого смысла. Лучше перейдем к следующему типу циклов.

ЦИКЛЫ FOR

Visual C++ 2022 без оптимизации

Рассмотрим следующий пример for_cycle:

#include <stdio.h>

int main()

{

int a;

for (a = 0; a < 10; a++)

printf("Оператор цикла for\n");

}

Результат компиляции Microsoft Visual C++ 2022 с отключенной оптимизацией будет выглядеть так:

; int __cdecl main(int argc, const char **argv, const char **envp)

main proc near ; CODE XREF: __scrt_common_main_seh+107↓p

; DATA XREF: .pdata:0000000140004018↓o

; Объявляем локальную переменную

var_18 = dword ptr -18h

; Резервируем для нее место в стеке

sub rsp, 38h

; Инициализируем переменную a нулем

mov [rsp+38h+var_18], 0

; Непосредственный переход на код проверки условия продолжения цикла —

; характерный признак цикла for

jmp short loc_1400010F8

; --------------------------------

loc_1400010EE: ; CODE XREF: main+2B↓j

; Загрузка в EAX значение переменной a

mov eax, [rsp+38h+var_18]

; Увеличение EAX на единицу

inc eax

; Обновление переменной a. Следовательно, исходный код выглядел так: a++

mov [rsp+38h+var_18], eax

loc_1400010F8: ; CODE XREF: main+C↑j

; Сравниваем переменную a со значением 0xA

cmp [rsp+38h+var_18], 0Ah

; Выходим из цикла, если a >= 0xA

jge short loc_14000110D

; Иначе продолжаем выполнение и выводим строку

lea rcx, _Format ; _Format

call printf

; Безусловный переход в начало цикла

jmp short loc_1400010EE

; --------------------------------

loc_14000110D: ; CODE XREF: main+1D↑j

xor eax, eax

add rsp, 38h

retn

main endp

Итак, что мы имеем?

Расположенная в начале цикла проверка на завершение говорит о том, что это цикл с предусловием, но непосредственно выразить его через while не удается: мешает безусловный переход в середину цикла, минуя код инкремента переменной var_18. Однако этот цикл с легкостью отображается на оператор for, смотри:

for (int a = 0; a < 0xA; a++) printf("Оператор циклаfor\n");

Действительно, цикл for сначала инициирует переменную‑счетчик, затем проверяет условие продолжения цикла (оптимизируемое компилятором в условие завершения), далее выполняет оператор цикла, модифицирует счетчик, вновь проверяет условие и так далее.

Visual C++ 2022 с применением оптимизации

А теперь задействуем оптимизацию и посмотрим, как видоизменится наш цикл:

; int __cdecl main(int argc, const char **argv, const char **envp)

main proc near ; CODE XREF: __scrt_common_main_seh+107↓p

; DATA XREF: .pdata:000000014000400C↓o

push rbx

sub rsp, 20h

; Инициализируем регистровую переменную-счетчик

; Внимание! В исходном коде начальное значение счетчика равнялось нулю!

mov ebx, 0Ah

nop dword ptr [rax+rax+00h]

loc_140001080: ; CODE XREF: main+20↓j

Выполняем оператор цикла! Причем безо всяких проверок! Хитрый компилятор проанализировал код и понял, что цикл выполняется по крайней мере один раз.

lea rcx, _Format ; _Format

call printf

Уменьшаем счетчик, хотя в исходном коде программы мы его увеличивали.

Ну правильно: sub reg, const / jnz xxx короче, чем: INC / CMP reg, const / jnz xxx.

Ой и мудрит компилятор! Кто же ему давал право так изменять цикл?!

А дело вот в чем: он понял, что параметр цикла в самом цикле используется только как счетчик и нет никакой разницы, увеличивается он с каждой итерацией или уменьшается.

sub rbx, 1

; Переход в начало цикла, если RBX > 0

jnz short loc_140001080

xor eax, eax

add rsp, 20h

pop rbx

retn

main endp

Внешне это типичный код следующего вида:

int a = 0xA;

do {

printf("Оператор цикла while\n");

} while (--a);

Если тебя устраивает читабельность такой формы записи, оставляй ее. Если же нет, тогда код можно представить так:

for (int a = 0; a < 10; a++) printf("Оператор цикла for\n");

Постой, постой! На каком основании мы выполнили такое преобразование? А на том же самом, что и компилятор: раз параметр цикла используется только как счетчик, законна любая запись, выполняющая цикл ровно десять раз. Остается выбрать ту, которая удобнее и красивее. Никто же не будет утверждать, что for (a = 10; a > 0; a--) более привычно, чем for (a = 0; a < 10; a++)?

C++Builder 10

А что покажет нам товарищ C++Builder без оптимизации? Компилируем и смотрим пример for_cycle:

main proc near ; DATA XREF: __acrtused+29↑o

; Со стула упасть можно! пять переменных для маленького цикла!

var_18 = dword ptr -18h

var_14 = dword ptr -14h

var_10 = qword ptr -10h

var_8 = dword ptr -8

var_4 = dword ptr -4

push rbp

sub rsp, 40h

lea rbp, [rsp+40h]

; Инициализация переменных

mov [rbp+var_4], 0

mov [rbp+var_8], ecx

mov [rbp+var_10], rdx

mov [rbp+var_14], 0

loc_40141F: ; CODE XREF: main+3D↓j

После инициализации переменных сразу следует начало цикла, где на первом месте нас ожидает проверка переменной a. Из этого следует, что C++Builder цикл for превратил в цикл while с предусловием.

cmp [rbp+var_14], 0Ah

jge short loc_40143F

; Если (a >= 0xA), выходим из цикла

lea rcx, aOperatorIklaFo ; "Оператор цикла for\n"

; Выводим строку

call printf

mov [rbp+var_18], eax

; Копируем в EAX значение переменной a

mov eax, [rbp+var_14]

; Увеличиваем значение в регистре на 1

add eax, 1

; Возвращаем его в переменную

mov [rbp+var_14], eax

; Безусловный переход в начало цикла

jmp short loc_40141F

; --------------------------------

loc_40143F: ; CODE XREF: main+23↑j

; Блок завершения программы

mov [rbp+var_4], 0

mov eax, [rbp+var_4]

add rsp, 40h

pop rbp

retn

main endp

Видно, что C++Builder 10 не дотягивает до Visual C++ 2022. Ему даже не хватило ума проверить, выполняется ли цикл хотя бы один раз, чтобы превратить цикл for в цикл с постусловием. Вместо этого он сделал цикл с предусловием, однако заменил условие продолжения выполнения на условие прекращения!

С включенной оптимизацией C++Builder компилирует цикл for точно так же, как циклы while и do. То есть выкидывает любое упоминание о цикле и просто десять раз выводит заданную строчку.

ЦИКЛЫ С УСЛОВИЕМ В СЕРЕДИНЕ

Идентификация break

Теперь настала очередь циклов с условием в середине или циклов, завершаемых вручную оператором break. Рассмотрим следующий пример.

#include <stdio.h>

int main()

{

int a = 0;

while (1)

{

printf("1-й оператор\n");

if (++a > 2) break;

printf("2-й оператор\n");

}

do

{

printf("1-й оператор\n");

if (--a < 0) break;

printf("2-й оператор\n");

}

while (1);

}

Visual C++ 2022 без оптимизации

Результат компиляции в Visual C++ 2022 с отключенной оптимизацией должен выглядеть так (пример cycle_break_vc):

; int __cdecl main(int argc, const char **argv, const char **envp)

main proc near ; CODE XREF: __scrt_common_main_seh+107↓p

; DATA XREF: .pdata:0000000140004018↓o

var_a = dword ptr -18h

; Резервируем место для единственной локальной переменной

sub rsp, 38h

; Присваиваем переменной var_a значение 0

mov [rsp+38h+var_a], 0

; Перекрестная ссылка, направленная вниз, — цикл

loc_1400010EC: ; CODE XREF: main+3E↓j

; Обнуляем регистр EAX

xor eax, eax

Обрати внимание: когда оптимизация отключена, компилятор транслирует безусловный цикл «слишком буквально». Так, обнулив EAX, он педантично проверяет его значение на равенство единице, чего произойти не может! Если в кои‑то веки FALSE будет равно TRUE — произойдет выход из цикла.

Словом, все эти инструкции — глупый и бесполезный код цикла while (1)!

cmp eax, 1

; Если операнды одинаковые, то результат станет 0 и будет возведен флаг нуля,

; в результате чего произойдет выход из цикла

jz short loc_140001120

; printf("1-й оператор\n")

lea rcx, _Format ; "1-й"

call printf

; В EAX помещаем значение переменной a

mov eax, [rsp+38h+var_a]

; Инкрементируем EAX

inc eax

; Возвращаем значением из EAX в переменную var_a

mov [rsp+38h+var_a], eax

; Сравниваем значение переменной var_a с константой 2 — пределом цикла

cmp [rsp+38h+var_a], 2

Переход выполняется, если (var_a <= 0x2). Но куда ведет этот переход? Во‑первых, переход направлен вниз, то есть это уже не переход к началу цикла. Следовательно, и условие — не условие цикла, а результат компиляции конструкции IF — THEN. Второе — переход прыгает на первую команду, следующую за безусловным jmp short loc_140001120. А тот передает управление инструкции, следующей за командой jmp short loc_1400010EC — безусловного перехода, направленного вверх, — в начало цикла. Следовательно, jmp short loc_140001120 осуществляет выход из цикла, а jle short loc_140001112 продолжает его выполнение.

jle short loc_140001112

Ниже идет переход на завершение цикла. А кто у нас завершает цикл? Ну конечно же, break! Следовательно, окончательная декомпиляция выглядит так: if (++var_a > 0x2) break;.

Мы инвертировали <= в >, так как JLE передает управление на код продолжения цикла, а ветка THEN в нашем случае — на break.

jmp short loc_140001120

; --------------------------------

; Перекрестная ссылка направлена вверх, следовательно, это не начало цикла

loc_140001112: ; CODE XREF: main+2E↑j

; printf("2-й оператор\n")

lea rcx, a2 ; "2-й"

call printf

; Прыжок в начало цикла. Вот мы и добрались до конца цикла

jmp short loc_1400010EC

Восстанавливаем исходный код:

while(1)

{

printf("1-й оператор\п");

if (++var_a > 0x2) break;

printf("2-й оператор\n");

}

; --------------------------------

; Сюда происходит переход в момент выхода из первого цикла. По всей видимости, это перекрестная ссылка — начало второго цикла

loc_140001120: ; CODE XREF: main+11↑j

; main+30↑j ...

; printf("1-й оператор\n");

lea rcx, a1 ; "1-й"

call printf

mov eax, [rsp+38h+var_a]

; Уменьшаем значение в EAX: --var_a

dec eax

mov [rsp+38h+var_a], eax

; После возврата значения в память сравниваем значение переменной с нулем

cmp [rsp+38h+var_a], 0

; Если var_a >= 0, выполняем переход вниз

jge short loc_14000113F

Оператор break цикла do ничем не отличается от break цикла while! Поэтому не будем разглагольствовать, а сразу его декомпилируем: if (var_a < 0) break;.

; Очевидно, это break, ведущий в конец программы

jmp short loc_140001152

; --------------------------------

loc_14000113F: ; CODE XREF: main+5B↑j

lea rcx, a2_0 ; "2-й"

call printf

xor eax, eax

cmp eax, 1

; А это проверка продолжения цикла: while (1);

jnz short loc_140001120

loc_140001152: ; CODE XREF: main+5D↑j

xor eax, eax

add rsp, 38h

retn

main endp

Что ж, оператор break в обоих циклах выглядит одинаково и элементарно распознается (правда, не с первого взгляда, но при отслеживании нескольких переходов — да). А вот с бесконечными циклами неоптимизирующий компилятор подкачал: полученный код проверяет условие, истинность (неистинность) которого очевидна. Интересно, как поведет себя оптимизирующий компилятор?

Visual C++ 2022 с оптимизацией

Давай откомпилируем тот же самый пример компилятором Microsoft Visual C++ 2022 с ключом /O2 (оптимизация по скорости) и посмотрим, что получится:

; int __cdecl main(int argc, const char **argv, const char **envp)

main proc near ; CODE XREF: __scrt_common_main_seh+107↓p

; DATA XREF: .pdata:000000014000400C↓o

arg_0 = qword ptr 8

; Объявляем и инициализируем аргумент

mov [rsp+arg_0], rbx

; Сохраняем RDI в стеке

push rdi

sub rsp, 20h

; printf("1-й оператор\n"); — выводим строку до начала какого-либо цикла!

; Значит, компилятор предсказал хотя бы одно выполнение итерации цикла

lea rcx, _Format ; "1-й"

call printf

; Инициализация регистровых переменных:

mov ebx, 2

; Записав в EBX значение 2: var_EBX = 2, очень похожее на потолок нашего цикла,

; копируем это значение в EDI: var_RDI = 2

mov edi, ebx

nop dword ptr [rax]

; Перекрестная ссылка, направленная вперед. Это начало цикла

loc_140001090: ; CODE XREF: main+3C↓j

Ага! В начале цикла нет никаких проверок. Получается, оптимизирующий компилятор превратил цикл с предусловием в цикл с постусловием и предсказал еще одну выполненную итерацию. Вполне возможно, где‑то в его середине притаилось условие выхода.

; printf("2-й оператор\n");

lea rcx, a2D ; "2-й"

call printf

; printf("1-й оператор\n");

lea rcx, _Format ; "1-й"

call printf

Посмотри‑ка! Оказывается, итерация состоит из вывода двух строк, а перед началом цикла была выведена только одна. Значит, между командами печати находится условие выхода из цикла!

Вычитаем из RDI число 1 (var_RDI--)... Постой, в исходном коде в первом цикле был инкремент! Такие преобразования компилятору никто делать не запрещает. Если ему кажется, что так быстрее, его право.

sub rdi, 1

Инструкция SUB позволила не применять CMP для сравнения значений (вот тебе и ускорение!). Если (var_RDI > 0), переходим к началу цикла. Следовательно, выход из цикла произойдет, когда выполнится условие (var_RDI <= 0).

jnz short loc_140001090

Как видно, оптимизирующий компилятор выкинул никому не нужные проверки условия, упростив код и облегчив его понимание. Производим декомпиляцию первого цикла:

var_RDI = 2;

for (;;) // Вырожденный for представляет собой бесконечный цикл

{

printf("1-й оператор\n");

--var_RDI;

if (var_RDI <= 0) break;

printf("2-й оператор\n");

}

Такой цикл явно лучше, чем while(true)!

После конца первого цикла до начала второго вызывается первый оператор для вывода строки, точно так же, как это было в начале программы:

; printf("1-й оператор\n");

lea rcx, _Format ; "1-й"

call printf

nop word ptr [rax+rax+00h]

; Перекрестная ссылка — начало второго цикла

loc_1400010C0: ; CODE XREF: main+6B↓j

; А цикл начинаем с оператора № 2 вывода строки, подобно тому, как это было в первом цикле

; printf("2-й оператор\n");

lea rcx, a2D ; "2-й"

call printf

; printf("1-й оператор\n");

lea rcx, _Format ; "1-й"

call printf

; Уменьшаем значение в регистре EBX на 1: var_EBX--

; Как мы помним, в EBX находится потолок цикла, равно как было в RDI

sub ebx, 1

Переход в начало цикла осуществляется, когда флаг SF == 0. Следовательно, выход из цикла происходит, когда флаг SF == 1, а он будет равен единице только в случае, если в результате предыдущего вычитания получилось отрицательное значение.

jns short loc_1400010C0

Все это намекает на следующий код второго цикла:

var_EBX = 2;

for (;;)

{

printf("1-й оператор\n");

--var_EBX;

if (var_EBX < 0) break;

printf("2-й оператор\n");

}

; Восстанавливаем регистры перед выходом

mov rbx, [rsp+28h+arg_0]

xor eax, eax

add rsp, 20h

pop rdi

retn

main endp

Для представления бесконечных циклов в декомпилированном коде мы воспользовались вырожденным for, который не имеет ни пред-, ни постусловия, потому что дизассемблированный листинг не дал нам ни малейшего намека на присутствие цикла другого типа!

Да... тут есть над чем подумать! Компилятор нормально «переварил» первую строку цикла printf("1-й оператор\n"), а затем «напоролся» на ветвление: if (--a < 0) break. Хитрые парни из Microsoft знают, что для суперскалярных суперконвейерных процессоров, к которым относятся современные чипы от Intel и AMD, ветвления все равно что чертополох для Тигры. Вот и приходится компилятору исправлять ляпы программиста, что он делать в принципе не обязан, но за что ему большое человеческое спасибо!

Компилятор как бы «прокручивает», «слепляя» вызовы функций printf и вынося ветвления в конец. Образно исполняемый код можно представить трассой, а процессор — гонщиком. Чем длиннее участок дороги без поворотов, тем быстрее его проскочит гонщик. Выносить условие из середины цикла в его конец вполне допустимо, ведь переменная, относительно которой выполняется ветвление, не модифицируется ни функцией printf, ни какой‑либо другой. Поэтому не все ли равно, где ее проверять? Конечно же, не все равно!

К моменту, когда условие --а < 0 становится истинно, успевает выполниться первый printf, а вот второй уже не получает управления. Вот для этого‑то компилятор и поместил код проверки условия следом за первым вызовом первой функции printf, а затем изменил порядок вызова printf в теле цикла. Это привело к тому, что на момент выхода из цикла по условию первый printf выполняется на один раз больше, чем второй, так как он встречается дважды.

Ох и непросто разобраться во всей этой головоломке, а представь, дорогой друг, насколько сложно реализовать компилятор, умеющий проделывать такие фокусы!

А еще кто‑то ругает автоматическую оптимизацию. Да уж! Конечно, руками‑то можно и круче оптимизировать (особенно понимая смысл кода), но ведь эдак и мозги недолго вывихнуть! А компилятор, даже будучи стиснут со всех сторон кривым кодом программиста, за доли секунды успевает его довольно прилично окультурить!

C++Builder 10

Весьма разительно отличается тот же пример, скомпилированный с помощью Embarcadero C++Builder. При этом с включенной оптимизацией по скорости (O2), как и в прошлые разы, получается груда последовательных вызовов функций вывода строк. А вот вариант без оптимизации вполне заслуживает нашего внимания и критики:

; int __cdecl main(int argc, const char **argv, const char **envp)

public main

main proc near ; DATA XREF: __acrtused+29↑o

; Объявляется восемь локальных переменных!

var_24 = dword ptr -24h

var_20 = dword ptr -20h

var_1C = dword ptr -1Ch

var_18 = dword ptr -18h

var_14 = dword ptr -14h

var_10 = qword ptr -10h

var_8 = dword ptr -8

var_4 = dword ptr -4

push rbp

sub rsp, 50h

lea rbp, [rsp+50h]

; Инициализация некоторых из них

mov [rbp+var_4], 0

mov [rbp+var_8], ecx

mov [rbp+var_10], rdx

mov [rbp+var_14], 0

; Начало первого цикла

loc_40141F: ; CODE XREF: main+4D↓j

Все достаточно прямолинейно: вызов оператора вывода первой строки — printf("1-й оператор\n"). Заметь, проверок нет, значит, все‑таки компилятор переделал цикл с предусловием в цикл с постусловием или условием в середине.

lea rcx, a1IOperator ; "1-й оператор\n"

call printf

; Регистру EDX присваиваем значение переменной var_14, а там у нас изначально 0,

; var_EDX = 0

mov edx, [rbp+var_14]

; Увеличиваем значение в регистре на 1...

add edx, 1

; ...и возвращаем значение в память

mov [rbp+var_14], edx

; Сравниваем значение var_EDX с константой 2

cmp edx, 2

mov [rbp+var_18], eax

; Если (var_EDX <= 2), продолжаем выполнять цикл...

jle short loc_40143E

; ...иначе «выпрыгиваем» из первого цикла

jmp short loc_40144F

; --------------------------------

loc_40143E: ; CODE XREF: main+3A↑j

Продолжая выполнение первого цикла, выводим вторую строку — printf("2-й оператор\n"). Отчетливо видно, что в теле цикла, между двумя операторами вывода строк, находится условие для выхода из цикла.

lea rcx, a2IOperator ; "2-й оператор\n"

call printf

mov [rbp+var_1C], eax

; Безусловный переход к началу первого цикла

jmp short loc_40141F

Результирующая декомпиляция первого цикла:

var_EDX = 0;

for (;;) {

printf("1-й оператор\n");

var_EDX++;

if (var_EDX > 2) break;

printf("2-й оператор\n");

}

; --------------------------------

loc_40144F: ; CODE XREF: main+3C↑j

jmp short $+2

; --------------------------------

; Начало второго цикла

loc_401451: ; CODE XREF: main:loc_40144F↑j

; main+83↓j

; В начале нет условия,

; выводим надпись № 1

lea rcx, a1IOperator ; "1-й оператор\n"

call printf

; Значение переменной var_14 присваиваем регистру EDX, а в ней у нас осталось число 2:

; var_EDX = 2

mov edx, [rbp+var_14]

; var_EDX = var_EDX +- 1

add edx, 0FFFFFFFFh

; var_14 = var_EDX

mov [rbp+var_14], edx

; Сравнение var_EDX с 0

cmp edx, 0

mov [rbp+var_20], eax

; Если (var_EDX >= 0), продолжаем выполнение цикла

jge short loc_401470

; Иначе идем в конец программы прибирать свои нули

jmp short loc_401487

; --------------------------------

loc_401470: ; CODE XREF: main+6C↑j

; В продолжение выполнения цикла выводим строку № 2

lea rcx, a2IOperator ; "2-й оператор\n"

call printf

mov [rbp+var_24], eax

mov al, 1

test al, 1

; Если (ZF == 0), переходим к началу второго цикла,

; в данных условиях ZF никогда не будет равна единице, так как ((test al, 1) != 0)

jnz short loc_401451

; Перепрыгнув инструкцию, идем на выход

jmp short $+2

Итоговая декомпиляция второго цикла:

var_EDX = 2;

for (;;) {

printf("1-й оператор\n");

var_EDX--;

if (var_EDX < 0) break;

printf("2-й оператор\n");

}

; --------------------------------

loc_401487: ; CODE XREF: main+6E↑j

; main+85↑j

; На выходе прибираем за собой

mov [rbp+var_4], 0

mov eax, [rbp+var_4]

add rsp, 50h

pop rbp

retn

main endp

Компилятор C++Builder при трансляции бесконечных циклов заменяет код проверки условия продолжения цикла безусловным переходом. Но вот оптимизировать ветвления, вынося их в конец цикла так, как это делает Visual C++ 2022, он не умеет.

Идентификация continue

Теперь, после break, рассмотрим, как компиляторы транслируют его «астральный антипод» — оператор continue. Взглянем на следующий пример (cycle_continue).

#include <stdio.h>

int main()

{

int a = 0;

while (a++ < 10)

{

if (a == 2) continue;

printf("%x\n", a);

}

do

{

if (a == 2) continue;

printf("%x\n", a);

} while (--a > 0);

}

Visual C++ 2022 с выключенной оптимизацией

Результат работы компилятора Visual C++ 2022 с отключенной оптимизацией будет выглядеть так:

; int __cdecl main(int argc, const char **argv, const char **envp)

main proc near ; CODE XREF: __scrt_common_main_seh+107↓p

; DATA XREF: .pdata:0000000140004018↓o

var_a = dword ptr -18h

var_14 = dword ptr -14h

sub rsp, 38h

; Присваиваем локальной переменной var_a значение 0

mov [rsp+38h+var_a], 0

loc_1400010EC: ; CODE XREF: main+2C↓j main+3E↓j

; ^^^^^^^^^ ^^^^^^^^^

Две перекрестные ссылки, направленные вперед, говорят о том, что это либо начало двух циклов (один из которых вложенный), либо переход в начало цикла оператором continue.

; Загружаем в EAX значение var_a

mov eax, [rsp+38h+var_a]

; Загружаем в var_14 значение EAX

mov [rsp+38h+var_14], eax

mov eax, [rsp+38h+var_a]

; Инкрементируем значение в регистре EAX

inc eax

; Обновляем переменную var_a

mov [rsp+38h+var_a], eax

; Сравниваем значением var_a до увеличения с числом 0xA

cmp [rsp+38h+var_14], 0Ah

; Выход из первого цикла (переход в начало второго цикла), если var_a >= 0xA

jge short loc_140001120

; Сравниваем var_a со значением 0x2

cmp [rsp+38h+var_a], 2

Если (var_a != 2), выполняется прыжок на команду, следующую за инструкцией безусловного перехода, которая направлена вверх — в начало цикла. Очень похоже на условие выхода из цикла, но не будем спешить с выводами! Вспомним, в начале цикла нам встретились две перекрестные ссылки. Безусловный переход jmp short loc_1400010EC как раз образует одну из них. А кто «отвечает» за другую? Чтобы это узнать, необходимо проанализировать остальной код цикла.

jnz short loc_14000110E

Направленный в начало цикла безусловный переход — это либо конец цикла, либо continue. Предположим, что это конец цикла. Тогда что же представляет собой jge short loc_140001120? Предусловие выхода из цикла? Не похоже, в таком случае оно прыгало бы гораздо «ближе» — на метку loc_14000110E.

А может, jge short loc_140001120 — предусловие одного цикла, а jnz short loc_14000110E — постусловие другого, вложенного в него? Вполне возможно, но маловероятно: в этом случае постусловие представляло бы собой условие продолжения, а не завершения цикла. Поэтому с некоторой долей неуверенности мы можем принять конструкцию: CMP var_a, 2 \ JNZ loc_14000110E \ JMP loc_1400010EC за if (a == 2) continue.

jmp short loc_1400010EC

; --------------------------------

loc_14000110E: ; CODE XREF: main+2A↑j

mov edx, [rsp+38h+var_a]

; printf("%x\n", a);

lea rcx, _Format ; "%x\n"

call printf

А вот это явно конец цикла, так как jmp short loc_1400010EC — самая последняя ссылка на начало цикла. Итак, подытожим. Расположенное в начале цикла условие крутит этот цикл до тех пор, пока var_a < 0xA, причем инкремент параметра цикла происходит до его сравнения. Затем следует еще одно условие, возвращающее управление в начало цикла, если var_a == 2. Строй замыкает оператор цикла printf и безусловный переход в его начало.

jmp short loc_1400010EC

Таким образом, получается следующая картина.

Условие «ближнего» продолжения не может быть концом цикла, так как тогда условию «далекого» выхода пришлось бы выйти аж из надлежащего цикла, на что ни break, ни другие операторы не способны. Таким образом, условие «ближнего» продолжения может быть только оператором continue, и на языке C/C++ вся эта конструкция будет выглядеть так:

while(a++ < 10) // <- инкремент var_a и условие далекого выхода

{

if (a == 2) continue; // <- условие «ближнего» продолжения

printf("%x\n",var_a); // <- тело цикла

} // <- безусловный переход на начало цикла

; --------------------------------

loc_140001120: ; CODE XREF: main+23↑j main+68↓j

; ^^^^^^^^^ ^^^^^^^^^

; Начало цикла

; Сравниваем переменную var_a с числом 0х2

cmp [rsp+38h+var_a], 2

; Если var_a != 2, то продолжение цикла

jnz short loc_140001129

; Переход к коду проверки условия продолжения цикла

jmp short loc_140001139

; Это, бесспорно, continue, и вся конструкция выглядит так:

; if (a == 2) continue;

; --------------------------------

loc_140001129: ; CODE XREF: main+45↑j

mov edx, [rsp+38h+var_a]

; printf("%x\n",var_a);

lea rcx, asc_140002254 ; "%x\n"

call printf

loc_140001139: ; CODE XREF: main+47↑j

mov eax, [rsp+38h+var_a]

; var_a--;

dec eax

; Обновление переменной в памяти значением из регистра

mov [rsp+38h+var_a], eax

; Сравнение var_a с нулем

cmp [rsp+38h+var_a], 0

; Пока (var_a > 0), продолжать цикл

jg short loc_140001120

Похоже на постусловие. В таком случае исходный код должен выглядеть так:

do

{

if (a == 2) continue;

printf("%x\n", var_a);

} while (--var_a > 0);

xor eax, eax

add rsp, 38h

retn

main endp

Visual C++ 2022 с включенной оптимизацией

А теперь посмотрим, как повлияла оптимизация (/O2) на вид циклов:

; int __cdecl main(int argc, const char **argv, const char **envp)

main proc near ; CODE XREF: __scrt_common_main_seh+107↓p

; DATA XREF: .pdata:000000014000400C↓o

push rbx

sub rsp, 20h

; Обнуление EBX: var_EBX = 0

xor ebx, ebx

loc_140001078: ; CODE XREF: main+20↓j

; Начало цикла:

; var_EBX++

inc ebx

; Сравнение var_EBX с 2

cmp ebx, 2

; Переход на метку loc_14000108D, если var_EBX == 2

jz short loc_14000108D

mov edx, ebx

; Если не ушли на метку в случае var_EBX != 2, выводим var_EBX на экран:

; printf("%x\n", var_EBX);

lea rcx, _Format ; "%x\n"

call printf

Следовательно, эту ветку кода можно изобразить так:

"if (var_EBX ! = 2) printf("%x\n", var_EBX);"

loc_14000108D: ; CODE XREF: main+D↑j

cmp ebx, 0Ah

; Продолжение цикла, пока (var_EBX++ < 0xA)

jl short loc_140001078

inc ebx

В итоге мы можем декомпилировать цикл следующим образом:

do

{

if (var_EBX != 2)

printf("%x\n", var_EBX);

} while (var_EBX++ < 0xA);

А что, выглядит вполне читабельно, не правда ли? Ничуть не хуже, чем

if (var_EBX == 2) continue.

loc_140001094: ; CODE XREF: main+3B↓j

; Начало цикла

cmp ebx, 2

; Переход на метку loc_1400010A7, если (var_EBX == 2)

jz short loc_1400010A7

mov edx, ebx

lea rcx, _Format ; "%x\n"

; printf("%x\n", var_EBX);

; Эта ветка выполняется, лишь когда (var_EBX != 2)

call printf

loc_1400010A7: ; CODE XREF: main+27↑j

; var_EBX--;

dec ebx

test ebx, ebx

; Условие продолжения цикла — крутить, пока (var_EBX > 0)

jg short loc_140001094

В итоге декомпилированный цикл выглядит примерно так:

do

{

if (var_EBX != 2)

printf("%x\n", var_EBX);

} while (--var_EBX > 0)

xor eax, eax–

add rsp, 20h

pop rbx

retn

main endp

C++Builder 10 с включенной оптимизацией

Довольно интересный образец кода получается у C++Builder 10.4 с включенной оптимизацией по скорости — /O2:

; int __cdecl main(int argc, const char **argv, const char **envp)

public main

main proc near ; DATA XREF: __acrtused+29↑o

; Ни одной локальной переменной, зато массовое использование регистров

push rbp

push rsi

push rdi

sub rsp, 20h

lea rbp, [rsp+20h]

; var_EAX = 1

mov eax, 1

; В RSI помещаем указатель на форматную строку

lea rsi, unk_44D000

nop dword ptr [rax+rax+00000000h]

loc_401420: ; CODE XREF: main+2A↓j main+3C↓j

;^^^^^^^^^ ^^^^^^^^^

; Начало первого цикла

; var_EDI = var_EAX

mov edi, eax ; Format

mov eax, 3

; Сравнение var_EDI и 2

cmp edi, 2

; Если (var_EDI == 2), переходим в начало цикла,

; это означает условие с continue

jz short loc_401420

; Первый параметр для printf — форматная строка

mov rcx, rsi

; Второй параметр для printf — число для вывода

mov edx, edi

call printf

; Таким хитрым образом C++Builder инкрементирует значение регистровой переменной

lea eax, [rdi+1]

; Сравниваем var_EDI с 0xA,

; В var_EDI хранится значение счетчика до инкремента

cmp edi, 0Ah

; Прыгаем в начало цикла, пока (var_EDI < 0xA)

jl short loc_401420

На основе имеющихся данных можно декомпилировать этот код:

var_EAX = 1;

do

{

var_EDI = var_EAX;

var_EAX = 3;

if (var_EDI == 2) continue;

printf("%x\n", var_EDI);

}

while (var_EDI++ < 0xA);

Он получился излишне перегруженным, оптимизируем:

do

{

if (var_EDI != 2)

printf("%x\n", var_EDI);

}

while (var_EDI++ < 0xA);

; Подготовка для второго цикла

lea rsi, unk_44D000

db 66h, 66h, 2Eh

nop word ptr [rax+rax+00000000h]

loc_401450: ; CODE XREF: main+5A↓j main+6C↓j

; ^^^^^^^^^^ ^^^^^^^^^

; Начало второго цикла

; После выполнения первого цикла в var_EAX находится максимальное значение — 0xA

mov edi, eax ; Format

mov eax, 1

; Сравниваем var_EDI с 2

cmp edi, 2

; Если (var_EDI == 2), переходим в начало (второго) цикла

jz short loc_401450

; Подготовка параметров для вызова printf

mov rcx, rsi

mov edx, edi

call printf

; На этот раз декрементируем регистровую переменную

lea eax, [rdi-1]

cmp edi, 1

; Переходим в начало цикла, пока (var_EDI > 1)

jg short loc_401450

На основе имеющихся данных этот код можно декомпилировать таким образом:

var_EAX = 0xA;

do

{

var_EDI = var_EAX;

var_EAX = 1;

if (var_EDI == 2) continue;

printf("%x\n", var_EDI);

}

while (var_EDI-- > 1);

Оптимизированный вариант ты с легкостью построишь без моей помощи.

xor eax, eax

add rsp, 20h

pop rdi

pop rsi

pop rbp

retn

main endp

У C++Builder получился на редкость стройный код, который приятно читать и легко понимать! Оба цикла C++Builder преобразовал в циклы с постусловием, а условие продолжения расположено в середине. Остальные компиляторы генерируют приблизительно такой же код. Общим для всех случаев будет то, что на циклах с предусловием оператор continue практически неотличим от вложенного цикла, а на циклах с постусловием continue эквивалентен элементарному ветвлению.

ЦИКЛЫ FOR С НЕСКОЛЬКИМИ СЧЕТЧИКАМИ

Настала очередь циклов for, вращающих несколько счетчиков одновременно. Рассмотрим следующий пример.

#include <stdio.h>

int main()

{

for (int a = 1, b = 10; (a < 10 || b > 1); a++, b--)

printf("%x %x\n", a, b);

}

Как мы помним из прошлой статьи, если поставить запятую между условиями, компилятором будет учтено только самое правое из них. Поэтому два и более условия надо соединять логическими операциями.

Дизассемблерный листинг этой программы, построенной в Visual C++ 2022 с отключенной оптимизацией, будет иметь следующий вид:

; int __cdecl main(int argc, const char **argv, const char **envp)

main proc near ; CODE XREF: __scrt_common_main_seh+107↓p

; DATA XREF: .pdata:0000000140004018↓o

var_b = dword ptr -18h

var_a = dword ptr -14h

; Резервируем память для двух локальных переменных

sub rsp, 38h

; Инициализируем локальные переменные:

; присваиваем var_a значение 0x1

mov [rsp+38h+var_a], 1

; присваиваем var_b значение 0xA

mov [rsp+38h+var_b], 0Ah

; Прыжок на код проверки условия выхода из цикла

; Это характерная черта неоптимизированных циклов for

jmp short loc_14000110A

; --------------------------------

; Перекрестная ссылка, направленная вниз, говорит о том, что это начало цикла

; А выше мы уже выяснили, что тип цикла — for

loc_1400010F6: ; CODE XREF: main+4D↓j

; var_a++;

mov eax, [rsp+38h+var_a]

inc eax

mov [rsp+38h+var_a], eax

; var_b--;

mov eax, [rsp+38h+var_b]

dec eax

mov [rsp+38h+var_b], eax

loc_14000110A: ; CODE XREF: main+14↑j

cmp [rsp+38h+var_a], 0Ah

; Если (var_a < 0xA), прыгаем в секцию продолжения цикла и вывода строки

jl short loc_140001118

cmp [rsp+38h+var_b], 1

; Выход из цикла, если (var_b <= 0x1)

jle short loc_14000112F

loc_140001118: ; CODE XREF: main+2F↑j

; Готовим параметры для вызова printf

mov r8d, [rsp+38h+var_b]

mov edx, [rsp+38h+var_a]

lea rcx, _Format ; "%x %x\n"

; Сам вызов printf:

; printf("%x %x\n", var_a, var_b);

call printf

; Безусловный переход в начало цикла

jmp short loc_1400010F6

; --------------------------------

loc_14000112F: ; CODE XREF: main+36↑j

xor eax, eax

add rsp, 38h

retn

main endp

Как и полагается, компилятор учел оба условия. Так как между ними стоит OR, если первое выполняется, второе проверять не имеет смысла, и программа перепрыгивает на стадию вывода строки. Если же первое условие не срабатывает, то программа обрабатывает второе условие.

Оно было инвертировано компилятором на противоположное по сравнению с исходным. Поэтому в случае его выполнения происходит выход из цикла и переход в завершающую секцию. После этого выполнение программы самотеком переходит к подготовке параметров и выводу строки. После чего посредством безусловного перехода осуществляется прыжок в начало цикла.

Этот цикл можно представить как:

while(1)

{

var_a++;

var_b--;

if (var_a < 0xA || var_b > 0x1)

printf("%x %x\n", var_a, var_b);

}

Но по соображениям удобочитаемости имеет смысл скомпоновать этот код в цикл for:

for (var_a = 1, var_b = 0xA; (a < 10 || b > 1); var_a++, var_b--)

printf("%x %x\n",var_a,var_b);

Компилятор без оптимизации вставляет безусловный переход на код проверки выхода из цикла. А как поведет себя этот же компилятор с включенной оптимизацией?

; int __cdecl main(int argc, const char **argv, const char **envp)

main proc near ; CODE XREF: __scrt_common_main_seh+107↓p

; DATA XREF: .pdata:000000014000400C↓o

; Один аргумент

arg_0 = qword ptr 8

mov [rsp+arg_0], rbx

push rdi

; Резервируем для него место в стеке

sub rsp, 20h

; Регистровые переменные:

; var_EDI = 0x1

mov edi, 1

; var_EBX = 0xA

lea ebx, [rdi+9]

loc_140001082: ; CODE XREF: main+31↓j

cmp edi, 0Ah

; Если (var_EDI < 0xA), переход на метку loc_14000108C, где происходит вывод строки

; и манипуляции со счетчиками

jl short loc_14000108C

cmp ebx, 1

; Если (var_EBX <= 1), идем на выход

jle short loc_1400010A3

loc_14000108C: ; CODE XREF: main+15↑j

; Готовим параметры, выводим строку

mov r8d, ebx

lea rcx, _Format ; "%x %x\n"

mov edx, edi

call printf

; Манипуляции со счетчиками:

; var_EDI++;

inc edi

; var_EBX--;

dec ebx

; Осуществляем безусловный переход в начало цикла

jmp short loc_140001082

; --------------------------------

loc_1400010A3: ; CODE XREF: main+1A↑j

mov rbx, [rsp+28h+arg_0]

xor eax, eax

add rsp, 20h

pop rdi

retn

main endp

Оптимизированный код выглядит гораздо понятнее и яснее!

Остальные компиляторы, в том числе Visual C++, обрабатывают выражения инициализации и модификации счетчиков корректно в порядке их объявления в тексте программы.

ЗАКЛЮЧЕНИЕ

Циклы, подобно условным операторам, открывают перед компиляторами широкий простор для творчества. В простых случаях одни компиляторы предсказывают каждый шаг выполнения циклов и полностью отказываются от них, другие — строят заковыристые трассы, которые порой тормозят конвейер исполнения процессора. Самые лучшие на деле выправляют код программиста, предоставляя процессору оптимальный маршрут.

На этом можно поставить точку в наших изысканиях с циклами. Мы разгрызли все имеющиеся типы циклов языков C/C++ и Pascal/Delphi. Увидели, как их транслируют современные версии компиляторов этих языков программирования с включенной автоматической оптимизацией и без нее. Автоматическая оптимизация творит с кодом чудеса! Она уменьшает количество условий и переходов, ускоряя программу. Иногда после ее использования дизассемблерный код становится более понятен, чем до нее.

В работе хакера идентификация циклов играет важную роль, потому что, пропустив или неправильно поняв одну метку, можно испортить весь предварительный анализ, даже не поняв, что пропустил цикл! После этого придется начинать трудоемкий анализ всей программы с самого начала.