C++中堆对象的构造函数和析构函数逆向分析

实验环境：操作系统：Windows XP Professional Service Pack 3集成开发环境：Microsoft Visual C++ 6.0构建版本：Debug版本实验代码：

1 #include <stdio.h> 2 3 class People 4 { 5 public: 6People() { printf("Constructor!\n"); } 7~People() { printf("Destructor!\n"); } 8 }; 9 10 int main(int argc, char **argv, const char **envp)11 {12People *p = new People;13delete p;14 15return 0;16 }

下面先来看在堆上构造一个People对象的汇编代码，这里有一个需要注意的是，虽然People类的定义中没有定义数据成员，表象上占用空间为0，但是实际上需要分配1个字节的空间，否则就无法获取对象实例的地址了，this指针也会失效，导致不能被实例化，所以在调用new函数的时候push了1个字节，用来表征分配1个字节的堆空间。

12: People *p = new People; ; 压入待分配的类对象所需要的空间0040105D push 1; 调用new函数进行分配堆空间0040105F call operator new (004012b0); 由于new函数是__cdecl调用类型，所以有调用者负责恢复堆栈平衡00401064 add esp,4; 将分配的堆地址存放到临时变量[ebp - 18h]中00401067 mov dword ptr [ebp-18h],eax; [ebp - 4]保存申请堆空间的次数0040106A mov dword ptr [ebp-4],0; 检测堆空间是否申请成功00401071 cmp dword ptr [ebp-18h],0; 如果申请失败的话，就跳过构造函数，跳转到0x401084将存放this指针的临时变量赋值为000401075 jemain+54h (00401084); 将分配的堆空间的首地址传入ecx中00401077 mov ecx,dword ptr [ebp-18h]; 调用构造函数0040107A call @ILT+15(People::People) (00401014); 构造函数调用返回this指针，将this指针传入eax中，此处又将this指针传入临时变量[ebp - 24h]中0040107F mov dword ptr [ebp-24h],eax; 跳过new操作分配堆空间失败的赋值操作00401082 jmp main+5Bh (0040108b); 如果分配失败的话，就会把临时变量[ebp - 24h]赋值为000401084 mov dword ptr [ebp-24h],0; 将[ebp - 24h]重新传入eax中，如果为0，则代表堆空间分配失败，否则分配成功0040108B mov eax,dword ptr [ebp-24h]; 下面几步操作最终将this指针保存到了变量[ebp - 14h]中，也就是我们的变量p0040108E mov dword ptr [ebp-14h],eax00401091 mov dword ptr [ebp-4],0FFFFFFFFh00401098 mov ecx,dword ptr [ebp-14h]0040109B mov dword ptr [ebp-10h],ecx

接下来再看一下单个对象析构函数的调用的汇编代码，这里有一个需要注意的是，delete一个堆对象的时候不是简单的调用析构函数，而是调用了一个析构代理函数，原因有很多，其中一个原因是有时候并不仅仅只销毁一个对象，还有可能使用delete[]销毁多个对象。

13: delete p; ; 下面几步操作将变量p的内容传入了临时变量[ebp - 1Ch]中0040109E mov edx,dword ptr [ebp-10h]004010A1 mov dword ptr [ebp-20h],edx004010A4 mov eax,dword ptr [ebp-20h]004010A7 mov dword ptr [ebp-1Ch],eax; 判断变量p的内容是否为0004010AA cmp dword ptr [ebp-1Ch],0; 如果为0, 则直接跳过析构函数的调用004010AE jemain+8Fh (004010bf); 压入释放对象类型标志, 1为单个对象, 3为释放对象数组, 0表示仅仅执行析构函数, 不释放堆空间(与多重继承有关)004010B0 push 1; 将对象指针传入ecx中004010B2 mov ecx,dword ptr [ebp-1Ch]; 这里不是直接调用析构函数, 而是调用了一个叫做'scalar deleting destructor'的析构代理函数, 下面将要介绍004010B5 call @ILT+0(People::`scalar deleting destructor') (00401005); 将被销毁的对象的首地址传入临时变量[ebp - 28h]中004010BA mov dword ptr [ebp-28h],eax; 处理成功, 跳过失败处理004010BD jmp main+96h (004010c6); 如果析构失败, 则将临时变量[ebp - 28h]赋值为0004010BF mov dword ptr [ebp-28h],0

跟进析构代理函数看看，看上去好像也仅仅是在delete函数的基础上加了调用析构函数，不过析构代理函数在析构多个对象的时候会有很大的不同。

People::`scalar deleting destructor':; 下面几步操作属于函数的入口操作, 和我们的分析无关, 忽略00401160 push ebp00401161 mov ebp,esp00401163 sub esp,44h00401166 push ebx00401167 push esi00401168 push edi00401169 push ecx0040116A lea edi,[ebp-44h]0040116D mov ecx,11h00401172 mov eax,0CCCCCCCCh00401177 rep stos dword ptr [edi]; 将this指针从栈中弹到ecx中00401179 pop ecx; 将this指针存放到临时变量[ebp - 4]中0040117A mov dword ptr [ebp-4],ecx; 将this指针又赋值给了ecx, 重复操作0040117D mov ecx,dword ptr [ebp-4]; 调用析构函数, 这里使用寄存器ecx进行传递this指针00401180 call @ILT+10(People::~People) (0040100f); 获取释放标志00401185 mov eax,dword ptr [ebp+8]

; 检查是否释放堆空间00401188 and eax,10040118B test eax,eax0040118D jePeople::`scalar deleting destructor'+3Bh (0040119b)

; ecx保存了对象的首地址0040118F mov ecx,dword ptr [ebp-4]; 压入this指针00401192 push ecx; 调用delete函数00401193 call operator delete (00401220); 由于delete函数也是__cdecl调用类型, 所以也是由调用者进行堆栈平衡操作00401198 add esp,4; 将已经被销毁的对象的首地址传入eax中0040119B mov eax,dword ptr [ebp-4]; 函数离开的收尾工作, 和我们的分析无关, 忽略0040119E pop edi0040119F pop esi004011A0 pop ebx004011A1 add esp,44h004011A4 cmp ebp,esp004011A6 call __chkesp (004016b0)004011AB mov esp,ebp004011AD pop ebp004011AE ret 4

至于析构函数本身，倒是没有什么需要特别注意的点。

7: ~People() { printf("Destructor!\n"); }; 函数入口操作, 忽略004011D0 push ebp004011D1 mov ebp,esp004011D3 sub esp,44h004011D6 push ebx004011D7 push esi004011D8 push edi004011D9 push ecx004011DA lea edi,[ebp-44h]004011DD mov ecx,11h004011E2 mov eax,0CCCCCCCCh004011E7 rep stos dword ptr [edi]; 将this指针存放到ecx寄存器中004011E9 pop ecx; 将this指针传入临时变量[ebp - 4]004011EA mov dword ptr [ebp-4],ecx; 压入格式化字符串004011ED push offset string "Destructor!\n" (0042502c); 调用printf函数004011F2 call printf (004017e0); 由于不定参数, 所以printf必须得是__cdecl调用类型, 由调用者进行堆栈平衡004011F7 add esp,4; 函数收尾工作, 忽略004011FA pop edi004011FB pop esi004011FC pop ebx004011FD add esp,44h00401200 cmp ebp,esp00401202 call __chkesp (004016b0)00401207 mov esp,ebp00401209 pop ebp0040120A ret

下面在看看多个对象的构造和析构情况，实验代码：

1 #include <stdio.h> 2 3 class People 4 { 5 public: 6People() {} 7~People() {} 8 }; 9 10 int main(int argc, char **argv, const char **envp)11 {12People *p = new People[5];13delete[] p;14 15return 0;16 }

下面看看分配多个对象的汇编代码，这里调用了一个构造代理函数。

12: People *p = new People[5]; ; 每个待分配的对象占用1个字节, 再加上堆空间的首地址处的4字节用于保存对象的个数0040105D push 9; 调用new函数0040105F call operator new (004012b0); 调用方负责堆栈平衡00401064 add esp,4; eax保存分配的堆空间的首地址00401067 mov dword ptr [ebp-18h],eax; [ebp - 4]保存申请堆空间的次数0040106A mov dword ptr [ebp-4],0; 判断是否分配成功, 如果分配失败的话就跳过构造代理函数00401071 cmp dword ptr [ebp-18h],000401075 jemain+75h (004010a5); 压入析构函数的地址00401077 push offset @ILT+10(People::~People) (0040100f); 压入构造函数的地址0040107C push offset @ILT+15(People::People) (00401014); 将分配的堆空间的首地址传入eax中00401081 mov eax,dword ptr [ebp-18h]; 堆空间的首地址处的4字节用于存放申请的对象的个数00401084 mov dword ptr [eax],5; 压入对象个数0040108A push 5; 压入每个对象的大小0040108C push 1; 将堆空间的首地址传入ecx中0040108E mov ecx,dword ptr [ebp-18h]; 跳过首地址处的4个用于存放大小的字节00401091 add ecx,4; 压入ecx00401094 push ecx; 调用构造代理函数00401095 call `eh vector constructor iterator' (0040ee90); 将首地址传入edx中0040109A mov edx,dword ptr [ebp-18h]; 跳过首地址处的4个用于存放大小的字节0040109D add edx,4; 将edx传入[ebp - 24h]中004010A0 mov dword ptr [ebp-24h],edx; 跳过分配失败处理004010A3 jmp main+7Ch (004010ac); 分配失败处理004010A5 mov dword ptr [ebp-24h],0; 最终将对象首地址存入[ebp - 10h]中004010AC mov eax,dword ptr [ebp-24h]004010AF mov dword ptr [ebp-14h],eax004010B2 mov dword ptr [ebp-4],0FFFFFFFFh004010B9 mov ecx,dword ptr [ebp-14h]004010BC mov dword ptr [ebp-10h],ecx

跟进构造代理函数看看

??_L@YGXPAXIHP6EX0@Z1@Z:; 以下代码是函数入口的初始化和异常链的处理0040EE90 push ebp0040EE91 mov ebp,esp0040EE93 push 0FFh0040EE95 push offset string "stream != NULL"+30h (00426068)0040EE9A push offset __except_handler3 (00407590)0040EE9F mov eax,fs:[00000000]0040EEA5 push eax0040EEA6 mov dword ptr fs:[0],esp0040EEAD add esp,0F0h0040EEB0 push ebx0040EEB1 push esi0040EEB2 push edi0040EEB3 mov dword ptr [ebp-20h],00040EEBA mov dword ptr [ebp-4],0; 通过对下面代码的分析可以知道, [ebp - 1Ch]存放的是循环次数0040EEC1 mov dword ptr [ebp-1Ch],00040EEC8 jmp `eh vector constructor iterator'+43h (0040eed3); 将循环次数存入eax0040EECA mov eax,dword ptr [ebp-1Ch]; 将循环次数加10040EECD add eax,1; 重新存回[ebp - 1Ch]中0040EED0 mov dword ptr [ebp-1Ch],eax; 循环代码开始; 将循环次数传入ecx0040EED3 mov ecx,dword ptr [ebp-1Ch]; 与对象个数进行比较, 即进行ecx - dword ptr [ebp + 10h]操作0040EED6 cmp ecx,dword ptr [ebp+10h]; 如果大于等于0, 就离开循环代码块0040EED9 jge `eh vector constructor iterator'+5Ch (0040eeec); 将对象的首地址(已经跳过用于存放大小的4个字节)传入0040EEDB mov ecx,dword ptr [ebp+8]; 调用构造函数0040EEDE call dword ptr [ebp+14h]; 将对象的首地址传入eax0040EEE1 mov edx,dword ptr [ebp+8]; 在上一个对象的首地址的基础上加上对象的大小(此处为1个字节)0040EEE4 add edx,dword ptr [ebp+0Ch]; 将新的待调用构造函数的对象首地址存回[ebp + 8]中0040EEE7 mov dword ptr [ebp+8],edx; 跳转回循环块首0040EEEA jmp `eh vector constructor iterator'+3Ah (0040eeca); 剩余代码与我们的分析无关, 忽略0040EEEC mov dword ptr [ebp-20h],10040EEF3 mov dword ptr [ebp-4],0FFFFFFFFh0040EEFA call `eh vector constructor iterator'+71h (0040ef01)0040EEFF jmp `eh vector constructor iterator'+8Dh (0040ef1d)0040EF01 cmp dword ptr [ebp-20h],00040EF05 jne `eh vector constructor iterator'+8Ch (0040ef1c)0040EF07 mov eax,dword ptr [ebp+18h]0040EF0A push eax0040EF0B mov ecx,dword ptr [ebp-1Ch]0040EF0E push ecx0040EF0F mov edx,dword ptr [ebp+0Ch]0040EF12 push edx0040EF13 mov eax,dword ptr [ebp+8]0040EF16 push eax0040EF17 call __ArrayUnwind (004011a0)0040EF1C ret0040EF1D mov ecx,dword ptr [ebp-10h]0040EF20 mov dword ptr fs:[0],ecx0040EF27 pop edi0040EF28 pop esi0040EF29 pop ebx0040EF2A mov esp,ebp0040EF2C pop ebp0040EF2D ret 14h

调用析构代理函数处的代码与析构1个对象的代码基本一致，只是push的标志是3而不再是1了。接下来到多个对象析构代理函数的内部去看看，这里调用了一个'eh vector destructor iterator'函数进行循环释放对象数组。

People::`vector deleting destructor':; 函数入口代码, 与我们的分析无关, 忽略0040ED10 push ebp0040ED11 mov ebp,esp0040ED13 sub esp,44h0040ED16 push ebx0040ED17 push esi0040ED18 push edi0040ED19 push ecx0040ED1A lea edi,[ebp-44h]0040ED1D mov ecx,11h0040ED22 mov eax,0CCCCCCCCh0040ED27 rep stos dword ptr [edi]; 将对象首地址弹到ecx中0040ED29 pop ecx; 将首地址存放到[ebp - 4]中0040ED2A mov dword ptr [ebp-4],ecx; 取得标志0040ED2D mov eax,dword ptr [ebp+8]; 做按位与操作0040ED30 and eax,2; 如果为1, 就跳转到0x0040ED6F处只执行一次析构函数0040ED33 test eax,eax0040ED35 jePeople::`vector deleting destructor'+5Fh (0040ed6f); 否则压入析构函数的地址0040ED37 push offset @ILT+10(People::~People) (0040100f); 将对象首地址传入ecx中0040ED3C mov ecx,dword ptr [ebp-4]; 将对象的个数存入edx中0040ED3F mov edx,dword ptr [ecx-4]; 压入对象的个数0040ED42 push edx; 压入对象的大小0040ED43 push 1; 将对象的首地址传入eax中0040ED45 mov eax,dword ptr [ebp-4]; 压入对象首地址0040ED48 push eax; 调用函数进行循环析构多个对象0040ED49 call `eh vector destructor iterator' (0040edb0); 获取释放标志0040ED4E mov ecx,dword ptr [ebp+8]; 检查是否释放堆空间0040ED51 and ecx,10040ED54 test ecx,ecx0040ED56 jePeople::`vector deleting destructor'+57h (0040ed67); edx中保留了对象数组的首地址0040ED58 mov edx,dword ptr [ebp-4]; 修正为正确的包含对象个数的首地址, 因为即将调用delete函数, 而delete函数并没有记录对象的个数0040ED5B sub edx,40040ED5E push edx; 调用delete函数0040ED5F call operator delete (00401220); 堆栈平衡0040ED64 add esp,4; 修正为正确的包含对象个数的首地址, 并存入eax中0040ED67 mov eax,dword ptr [ebp-4]0040ED6A sub eax,40040ED6D jmp People::`vector deleting destructor'+80h (0040ed90); 这里是只有一个对象的析构过程; ecx中存放该对象的首地址0040ED6F mov ecx,dword ptr [ebp-4]; 调用析构函数0040ED72 call @ILT+10(People::~People) (0040100f); 获取释放标志0040ED77 mov eax,dword ptr [ebp+8]; 检查是否释放堆空间0040ED7A and eax,10040ED7D test eax,eax; 如果释放就跳转0040ED7F jePeople::`vector deleting destructor'+7Dh (0040ed8d); 否则压入单个对象的首地址0040ED81 mov ecx,dword ptr [ebp-4]0040ED84 push ecx; 调用delete函数0040ED85 call operator delete (00401220); 堆栈平衡0040ED8A add esp,4; eax中存放该对象的首地址0040ED8D mov eax,dword ptr [ebp-4]; 函数收尾代码, 不做分析0040ED90 pop edi0040ED91 pop esi0040ED92 pop ebx0040ED93 add esp,44h0040ED96 cmp ebp,esp0040ED98 call __chkesp (004016b0)0040ED9D mov esp,ebp0040ED9F pop ebp0040EDA0 ret 4

跟进'eh vector destructor iterator'函数中。

??_M@YGXPAXIHP6EX0@Z@Z:; 以下是函数入口的初始化和异常链的处理0040EDB0 push ebp0040EDB1 mov ebp,esp0040EDB3 push 0FFh0040EDB5 push offset string "stream != NULL"+10h (00426048)0040EDBA push offset __except_handler3 (00407590)0040EDBF mov eax,fs:[00000000]0040EDC5 push eax0040EDC6 mov dword ptr fs:[0],esp0040EDCD add esp,0F4h0040EDD0 push ebx0040EDD1 push esi0040EDD2 push edi; 通过对下面代码的分析可以知道, [ebp - 1Ch]中用于存放循环的次数0040EDD3 mov dword ptr [ebp-1Ch],0; eax中存放每个对象的大小0040EDDA mov eax,dword ptr [ebp+0Ch]; 乘上对象的个数, eax中存放总共的字节大小0040EDDD imul eax,dword ptr [ebp+10h]; ecx中存放对象的首地址0040EDE1 mov ecx,dword ptr [ebp+8]; ecx中存放最后一个对象的下一个地址0040EDE4 add ecx,eax; 存放到[ebp + 8]中0040EDE6 mov dword ptr [ebp+8],ecx; 保存申请堆空间的次数0040EDE9 mov dword ptr [ebp-4],0; edx中存放对象的个数0040EDF0 mov edx,dword ptr [ebp+10h]; edx减10040EDF3 sub edx,1; 重新放回[ebp + 10h]中0040EDF6 mov dword ptr [ebp+10h],edx; 检测是否小于0, 如果小于0, 就结束循环0040EDF9 cmp dword ptr [ebp+10h],00040EDFD jl`eh vector destructor iterator'+60h (0040ee10); 以下两步操作将eax指向即将被析构的对象的首地址(从后往前进行析构)0040EDFF mov eax,dword ptr [ebp+8]0040EE02 sub eax,dword ptr [ebp+0Ch]; 以下两步操作将待析构的对象首地址存入ecx中, 并且更新[ebp + 8]中的地址, 用于析构下一个对象0040EE05 mov dword ptr [ebp+8],eax0040EE08 mov ecx,dword ptr [ebp+8]; 调用析构函数0040EE0B call dword ptr [ebp+14h]; 重新跳回析构循环中0040EE0E jmp `eh vector destructor iterator'+40h (0040edf0); 剩余代码与我们的分析无关, 这里不考究0040EE10 mov dword ptr [ebp-1Ch],10040EE17 mov dword ptr [ebp-4],0FFFFFFFFh0040EE1E call `eh vector destructor iterator'+75h (0040ee25)0040EE23 jmp `eh vector destructor iterator'+91h (0040ee41)0040EE25 cmp dword ptr [ebp-1Ch],00040EE29 jne `eh vector destructor iterator'+90h (0040ee40)0040EE2B mov ecx,dword ptr [ebp+14h]0040EE2E push ecx0040EE2F mov edx,dword ptr [ebp+10h]0040EE32 push edx0040EE33 mov eax,dword ptr [ebp+0Ch]0040EE36 push eax0040EE37 mov ecx,dword ptr [ebp+8]0040EE3A push ecx0040EE3B call __ArrayUnwind (004011a0)0040EE40 ret0040EE41 mov ecx,dword ptr [ebp-10h]0040EE44 mov dword ptr fs:[0],ecx0040EE4B pop edi0040EE4C pop esi0040EE4D pop ebx0040EE4E mov esp,ebp0040EE50 pop ebp0040EE51 ret 10h

资料引用：钱林松 赵海旭. 《C++反汇编与逆向技术揭秘》. 机械工业出版社. 如有错误，欢迎指正，谢谢。