Discussion :

[mchk0123]

Bonjour,

Voilà j'écris en ce moment un programme en C++ et j'essaye de désassembler certaines parties pour bien vérifier que le code généré est suffisament simplifié (en fait j'utilise des templates C++ qui se simplifient à la compilation).

Le compilateur utilisé est gcc, et j'utilise W32Disasm qui est me semble être un trés bon décompilateur.

Pour trouver immédiatement la fonction qui m'intéresse dans Disasm, je rajoute une instruction C "printf("0xabcd0123\n");" qui à pour effet normalement d'être recherchable car j'ai normalement un bout de code ASM suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
push 0x.... # ici c'est une référence à la chaîne "0xabcd0123"
call printf

Tout fonctionne bien tant que le code compilé n'est que du C pur, mais dés que c'est du code C++, impossible de retrouver cette chaîne sous Disasm ...

Une idée de piste à rechercher ?

[Neitsa]

Bonjour,

et j'utilise W32Disasm qui est me semble être un trés bon décompilateur.

W32Dasm de URSoftware ?

Si c'est celui-là il est considéré comme "has-been" depuis pas mal d'années maintenant... Outre le fait que son développement soit arrêté depuis 10 ans, il accuse son age et commence à avoir de gros problèmes avec les binaires actuels: gros problème avec les SDR (string data references) notamment.

Tourne toi plutôt vers IDA (la "rolls" des désassembleurs) ou OllyDbg (c'est un débuggeur mais son moteur de désassemblage est plus performant que W32Dasm).

IDA (version free) : http://www.datarescue.be/idafreeware/freeida43.exe
OllyDbg : http://www.ollydbg.de/

La prise en main des deux demande un peu de temps, mais après c'est que du bonheur

[ToutEnMasm]

Salut,
Avec la version "visual C++ express edition" de microsoft,on rajoute une option et on a un fichier asm avec tous les symboles.
Windbg n'est pas mal non plus pour un truc gratuit.
ToutEnMasm

[mchk0123]

Bon entre temps, j'ai avancé sur le sujet.

IDA fonctionne parfaitement (je ne savais pas qu'elle était passé en free ! cool !).
En débuggant avec IDA, elle m'indique que les strings de mon exe sont en Unicode (donc voilà pourquoi W32Disasm ne trouvait rien).

Donc il semblerait que g++ (vs. gcc) à la compilation mette toutes les strings au format Unicode dans l'exe généré.

Je vais regarder du côté des options pour voir si je peut le forcer à générer des SBCS. Parce que IDA c'est le top mais c'est gros à charger / analyser.

[millie]

Je te conseilles d'utiliser l'option -S dans gcc ou de g++. Au moins, le code généré sera plus simple à comprendre (notamment avec les noms et parfois le code C qui correspond à une série d'instruction)

[mchk0123]

merci millie, mais

%lire %a %facile %pas %n'est %AT&T %syntaxe %la

[wwwwwwo]

Désolé, je n'avais pas vu le post....

En C++ les choses se gâtent évidement encore plus: La plupart du temps le bousin utilise 'MSV....NomApi' au lieu des API de base. C++ préfère wrapper à tour de bras tout ce qui lui tom sous la main (je sais une débilité de plus, mais bon, c'est de C++, les gars relisent pas le code généré... ). Faut dire aussi que tu cherches les coups
Si tu veux pouvoir lire du code plus propre, sucre tout le C++ et récrits tout ça en C (si ce n'est pas un boulot de bagnard sur le coup) et utilise le compilateur du SDK qui génère du code beaucoup plus propre et surtout n'installe pas touts les points d'entrée de Microsoft (sont sympas avec les codeurs C++ tu peux pas imaginer... le RE c'est aussi un boulot chez Mycroc$oft).

Si ton problème est toujours d'actualité et que tu n'arrive pas à en sortir... ben... y toujours moyen de (proposition honnête et gratuite, évidement)

PS: Excellente signature

[mchk0123]

Merci pour vos conseils à tous, cela m'a fait avancé à pas de géants ...

En fait, j'utilise un peu les conseils de chacun suivant le cas qui se présente.
Entre temps j'ai également réussi à localisé le code généré d'une nième façon différente :

- utilisation d'une instruction mov immédiate ajouté par un ASM inline
- comme ça je n'ai plus de problèmes de chaînes et je peux utiliser n'importe quel désassembleur de base (par contre je suis conscient qu'un mov pourrait avoir un effet désastreux dans certains cas, :-()

[Jean-Marc.Bourguet]

Je ne comprends pas pourquoi tu persistes à utiliser un déassembleur. (Si c'est à cause de la syntaxe ATT, je te suggère de lire la doc des options de gcc, il y en a une qui fait générer l'assembleur avec syntaxe Intel.)

[droggo]

Kao,

Je ne comprends pas pourquoi tu persistes à utiliser un déassembleur. (Si c'est à cause de la syntaxe ATT, je te suggère de lire la doc des options de gcc, il y en a une qui fait générer l'assembleur avec syntaxe Intel.)

C'est vrai, mais si tu as réellement réussi à faire marcher ça...

Moi, j'ai abandonné, et je suis passé à la syntaxe ATT, par force.

[Jean-Marc.Bourguet]

C'est vrai, mais si tu as réellement réussi à faire marcher ça...

Non, j'utilise gcc depuis longtemps avant l'introduction de cette option. Elle a fonctionné correctement dans les deux ou trois cas où je l'ai utilisée parce que je voulais montrer du code à quelqu'un peu familier avec la syntaxe ATT.

[mchk0123]

Par la force des choses, j'ai appris la syntaxe AT&T.
Un peu déroutant au début, mais on s'y fait. Pas si compliqué que ça quand
on a compris le truc.

J'ai vu l'option gcc pour la syntaxe Intel, un peu trop tard. Du coup j'ai continué en AT&T sans vraiment tester cette option.

[semio]

Kao,

C'est vrai, mais si tu as réellement réussi à faire marcher ça...

Moi, j'ai abandonné, et je suis passé à la syntaxe ATT, par force.

Oui, je confirme, l'option "-masm=intel" après l'option "-S" de g++ génère bien du code assembleur en syntaxe Intel.
Mais reste peut-être encore le problème que le code est MASM et non NASM (là je parle de mon soucis..)