Понятие многопоточности для реверс-инженера

В этой статье мы рассмотрим основы потоков в языке программирования C и разберём соответствующий машинный код. Понимание этого поможет вам в изучении реверс-инжиниринга.

Итак, наш рабочий код выглядит следующим образом:

void *mythread(void *vargp) {
    // пауза на секунду
    sleep(1);

    printf("Hello from my thread\n");
}
void Threading() {
    pthread_t tid;

    printf("This is before the thread\n");

    //создаём новый поток
    pthread_create(&tid, NULL, mythread, NULL);

    // присоединяем поток к главному потоку
    pthread_join(tid, NULL);

    printf("This is after the thread\n");
}

Заметьте, что программа сначала печатает «This is before the thread», далее создаёт новый поток, который, в свою очередь, указывает на функцию *mythread(), задействуя функцию pthread_create(). Когда функция *mythread() завершится (это произойдёт после сна длиной одну секунду), и на экран выведется «Hello from mythread»), то новый поток присоединится к основному посредством функции pthread_join() с последующим выводом на экран «This is after the thread».

Что же, теперь самое время посмотреть на машинный код:

В первую очередь программа печатает «This is before the thread».

Далее формируется новый поток посредством системного вызова _pthread_create. Данный поток получает в качестве аргумента mythread().

Как видите, функция mythread() просто спит 1 секунду перед выводом «Hello from mythread».

Кстати, внутри функции mythread() вы можете заметить 2 нопа — они размещены специально в целях облегчения навигации на этапе подготовки данной статьи.

После своего возврата из функции mythread() новый поток соединится с основным посредством функции _pthread_join.

В конце концов, на экран выведется «This is after the thread» и произойдёт возврат из функции.

По материалам статьи «BOLO: Reverse Engineering — Part 2 (Advanced Programming Concepts)»