菜鸟搜集的理解反汇编常用语句
本人系菜鸟中之小菜鸟,所写满是古人经验与个人鄙见!若有不对,敬请指正。另希望兄弟们帮我补充有效的‘反汇编语句’!
------------------------------------------------------------------------------------------------------------------------------------------
push ebp /这两句通常作为一个函数(子步伐)
mov ebp, esp \的开端标记
。。。
。。。。
mov eax,dword ptr ss:[ebp+8] ;子步伐(函数)把要处理的数据(参数)送入eax
有多少个mov xxx,dword ptr [ebp+x]就有多少个参数
----------------------------------------------------------------------
PUSHAD (压栈)代表步伐的入口点,
POPA (出栈)代表步伐的出口点,与PUSHAD相对应,一样平常找到这个,OEP就在相近
-----------------------------------------------------------------
sub esp, 10 ; 腾出16个字节的栈空间
add esp,10 ;清栈
------------------------------------------------------------------
mov eax, [xx] \
mov edx, [xx] \
call 00x???? \ 比较注册码语句
test eax, eax /
jz(jnz)00x?????? /
-----------------------------------------------------------------------
mov eax, [xx] \
mov edx, [xx] \ 比较注册码语句
cmp eax, edx /
jz(jnz)00x?????? /
--------------------------------------------------------------------------
mov eax, [xx] \
mov edx, [xx] \
call 00x???? \ 比较注册码语句
jz(jnz)00x?????? /
-------------------------------------------------------------------------
一个for循环的反汇编布局如下:一个明显的标记就是往回跳!
mov <循环变量>,<初值>
jmp 查抄循环条件B
A: (修正循环变量)
...
...
B: cmp <循环变量>,<限定条件>
jge 跳出循环
(循环体)
...
...
jmp 修正循环变量A
--------------------------------------------------------------------------
test ecx, ecx ;用于测试寄存器是否为空(等于0),此处如果ecx为零,设置ZF零标记位为1,Jz跳转
jz xxxxx
---------------------------------------------------------------------------
lea eax,[00104031] ; [] 用法的独一特例,等价于:eax=00104031
----------------------------------------------------------------------------
(注)是否真有下诉定理存在,本菜鸟不打包票!但它们相对是纪律性的东西,值得为它们定个理
(定理一):EAX定理------所有函数(子步伐)都默认以‘EAX’存储前往值!
(定理二):ESP定理------货仓指针ESP在函数(子步伐CALL)调用后,必定恢回复复兴来的值!
(定理三):EBP定理------所有子步伐都使用[EBP+XX]或[EBP-XX]来通报参数!
(定理四):ESI定理------几乎所有有关用户名与密码的操纵都使用变址寄存器ESI来得到!
(定理五):PUSH定理----所有(子步伐)CALL之前靠近的入栈PUSH行动都是为CALL提供参数!(见PUSH定理详解)
--------------------------------------------------------------------------
(ESP定理详解----------转自百度晓得,我稍窜改)
什么是esp?
它是货仓栈顶指针寄存器(stack pointer)-----一直自动生存(指向)以后货仓的栈顶(地点)。
什么是货仓?
就是把数据象堆砖头一样,一块一块的往上面堆,所以取砖头时间就只能从上往下取(不然就会墙到砸人!*_*)落伍先出(末了放上去的砖头开端取出来)这种数据布局就叫货仓(作为步伐参数的临时存储区,货仓的这种存取方式有效地使用了有限的内存空间)
什么是寄存器
它是固化在cpu内里的几个内存单元,但运算速率比普通内存条上的内存单元要快许多,cpu能直接对寄存器举行操做。我们可以把寄存器当作c语言里体系界说的‘几个’变量,数据啊字符串啊什么的都能存放在这内里 。
什么是call
call就是调用一个子步伐(电视剧里长说:“有事你‘call’我”,与此有异曲同工之妙!-------记住!有‘事’才会‘call’它)
好比
00040414 mov ax,word ptr [45847]
00040418 mov bx, .....
00040420 call 0042587
00040422 .....
在步伐执行call之前 他必要生存call下令‘下面的’主步伐(或调用者)的地点00040422 ,那么把它生存在哪呢?因为等下还要用到它,并且它是末了生存的,一执行完call后就要调用00040422这个地点,所以生存在货仓里最好了(落伍先出的特点)
关键:无论在call内里使用了多少次‘入栈、出栈’末了call调用完,00040422这个数据就出栈了,
货仓指针自动指向原货仓中00040422下面那个数据。
因此货仓指针的地位在调用前后没有产生改变。
这就是有名的货仓均衡(货仓指针在执行一系列子步伐后所指向地位稳定)
--------------------------------------------------------------------------------------------
(PUSH定理详解 )
00401333 |. 4E 6F 77 20 7>ascii "Now write a keyg"
00401343 |. 65 6E 20 61 6>ascii "en and tut and y"
00401353 |. 6F 75 27 72 6>ascii "ou're done.",0
0040135F |> 6A 00 push 0 \
00401366 |. 68 33134000 push 00401333 |----->这3个PUSH都为子步伐MessageBoxA提供参数
0040136B |. FF75 08 push dword ptr [ebp+8] /
0040136E |. E8 19010000call
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
