Назначение участка ассемблерного кода

[Schmidt]

Добрый день,

Занимаюсь изучением работы программ без исходных текстов (reverse engineering). Пока опыта немного, столкнулся с ассемблерной конструкцией, суть которой не могу уловить. Что за компилятор - неизвестно, но известно, что язык исходной программы - C/C++. Исходно в регистре ECX находится указатель на char-строку. Код ассемблерной конструкции таков:

Код:

.text:00405324                 neg     ecx
.text:00405326                 and     ecx, 3
.text:00405329                 jz      short loc_405337

Сломал себе голову, исчеркав кучу бумаги...Что же проверяется на этом участке?

[DiemonStar]

проверка третьего бита на ноль, если считать с 1.

[waleri]

Цитата:

Сообщение от DiemonStar

проверка третьего бита на ноль, если считать с 1.

А может проверка младших двух битов на ноль?
Кратность четырем, не?

[DiemonStar]

для двух младших хватило бы обычного xor. А neg работает чуть иначе... ecx + neg ecx = 0

[waleri]

А, ну да, поправка, проверка младших двух битов на единицу, хотя сами по себе последние две инструкции проверяют младшие два бита на ноль.

[Schmidt]

Технически так... Интересно кому/чему и для чего требуется этот код... Взять указатель на участок памяти, отнять его от нуля и потом еще на основе двух последних битов результата выбирать следующую ветку исполняемого кода...Интересно, кому вообще понадобилось в клиентском коде (функции самой программы) производить такую арифметику с указателями...Если бы этот код лежал в памяти ядра, я бы мог предположить, что это какая-то проверка на выравнивание адресов в памяти, хотя смысл NEG все равно остается загадкой... Может обфускация? Набор инструкций, который ничего не меняет в логике программы... Отродясь не видел, чтобы что-то с указателями выполняли, кроме вычитания, инкремента/декремента, и проверки на равенство 0...

[waleri]

функция memcpy() выравнивает адреса

[Vapaamies]

Похоже на подготовку к сканированию или поиску подстроки из обычных символов, двигаясь сразу двойными словами. Такая техника часто используется для ускорения, поскольку доступ к 32-битным словам быстрее, чем побайтный перебор.

[DiemonStar]

Цитата:

Интересно, кому вообще понадобилось в клиентском коде (функции самой программы) производить такую арифметику с указателями...Если бы этот код лежал в памяти ядра, я бы мог предположить, что это какая-то проверка на выравнивание адресов в памяти, хотя смысл NEG все равно остается загадкой..

вообще-то проверить адрес на содержание x...xxxx100b не так и просто одной операцией. еще один вариант такой проверки выглядит так:

Код:

and ecx,7
xor ecx, 4  (или cmp ecx, 4)
jz short loc_405337

но первый вариант будет и короче (в байтах исполняемого кода) и немного быстрее

[Schmidt]

Цитата:

Сообщение от Vapaamies

Похоже на подготовку к сканированию или поиску подстроки из обычных символов, двигаясь сразу двойными словами. Такая техника часто используется для ускорения, поскольку доступ к 32-битным словам быстрее, чем побайтный перебор.

Да, вы правы, это оно! Процедура, содержащая данный код заполняет память по указателю ASCII-символом, повторяя его определенное количество раз. Данный код проверяет, нужно ли выровнять указатель по двойному слову, вычисляя остаток до следующего 0xHHHHHH00 адреса. Если остаток не 0, то код выравнивает указатель внутри буфера, записывая нужное количество байт.

Если кому-то любопытно, код дизассемблированной процедуры во вложенном текстовом файле. Благодарю за помощь