工具:DTDebug(VT-O)专业版V1.0.025主要有四个窗口:反汇编窗口、寄存器窗口、堆栈窗口、内存窗口。
汇编语言的基础符号
例1. ADD EAX,1往 EAX寄存器里面的数字加1 Mov Eax,0x2将2加入到寄存器EAX当中
(1) 在程序下断点,找到位置【win32 messagebox】堆栈的栈顶存的是当程序调用该函数的时候的返回的地址。
(2) Jcc (eflags)标志寄存器决定程序的去向。
Cf 进位标志 —— 如果运算结果产生了一个进位或者错位,那么值为1,否则为0
Pf 奇偶标志 —— 反应运算结果中1的个数的奇偶性 0表示为奇数 1表示为偶数
Af 辅助进位标志 —— 在字操作是发生地位字节向高位字节进位或者错位的时候气质位1,在字节的操作时候发生低四位向高四位的进位或错位的时候其值为1
Zf 零标志 ——用来反映运算结果是否为零如果其值为0 为1
Sf 符号标志 ——用来反映运算结果的符号位,它与运算结果的最高位相同
Of 溢出标志 ——用于反映有符号数的加减乘除运算的结果是否溢出,如果运输案的结果超出了当前运算的为数的范围那么称之为溢出则Of的值表示为 1
**************************************************************************************
计算机的加法运算其实就是做位的运算。 计算机的减法的计算过程也可以是做特殊的加法运算。乘法是多个相加,循环多个加法运算就是做乘法运算,除法运算其实就是做乘法运算,判断多少次该运算可以得到这个数字,就是做除法运算的本质。
例如做减法运算4-5=?即 4+(-5)
1. 异或 OX
0000 0100
1111 1011
------------- 异或 OX
1111 1111
2. 判断有没有进位
0000 0100
1111 1011
------------- 若计算结果没有进位,则上面的计算结果就是运算结果值(00000000)
0000 0000
寄存器
寄存器32位EAX、16 位AX 、8位 AL,其中:
4 个数据寄存器(EAX、EBX、ECX、EDX),即 通用寄存器
2 个变址和指针寄存器(ESI、EDI)
2 个指针寄存器(ESP、EBP)
6 个段寄存器(ES、CS、SS、DS、FS、GS)
1 个指令指针寄存器(EIP)
1 个标志寄存器(EFlags)
内存 进程的内存映射到了物理内存再映射到其他的内存设备和内存条
使用mov 指令移动数据的时候必须保持两边的数据宽度一样
1. dword表示两个字节 mov
EAX ,Dword PTR DS:[0x 11111111]
2. Mov Dword ptrds:[地址],16进制的数据
3. mov eax ,dwordptr ds :[ Ecx +4 ]把ecx 里面的数据加4的地址下的只存到eax 里面
4. reg +reg*{1 , 2 ,4 ,8}
5. reg +reg*{1 , 2 ,4 ,8}+立即数
大端存储数据高位在低位,数据的低位在高位,小端存储,数据地位在低位,数据高位在高位。
内存 db 查看一个字节的数据, dw 查看两个字节的数据, dd 查看四个字节的数据。
数据的地址在内存里的地址连续的
ADD指令加法的指令
SUB 减法的指令
And 与运算的指令
or 或的运算的指令
XOR异或运算的指令
NOT非的操作的指令
MOVS指令从内存到内存之间的移动movs byte ptr es:[edi],byte ptr ds:[esi]
EFL标志寄存器 dc(10) 位表示方向为 0 为增加 1为减小
STOS将AL/AX/EAX的值存储到EDI指定的内存单元。
REP指令按照计数寄存器ECX的值重复执行字符串指令。
ESP堆栈地址寄存器使用过堆栈地址需要在ESP里面记录当前使用后的地址。
PUSH指令将数据压入堆栈,然后改变ESP寄存里面的向上移动。
POP从栈顶拿出数据,存入指定的容器里容器可以是寄存器也可以是内存,然后ESP值向下移动。
EIP存的是CPU下一次执行的内存地址,JMP指令就是修改EIP寄存器的值。
CALL指令(按F7)把下一行的指令的地址压入堆栈。
RETN 指令把栈顶的值取出来放到EIP cpu寄存器里面,然后栈顶向下移动。
DTDBUG F7单步进行、F8按函数执行、F2下断点(INT 3 当CPU遇到这个指令就停止运行)
汇编中的函数就是一些指令的集合,大多使用CALL指令来完成操作,最后使用RETN命令返回函数。EAX寄存器通
常放函数的返回结果。函数传递参数可以使用寄存器传递、堆栈传递参数,可以传递多个参数。堆栈平衡,使用完
堆栈之后需要恢复堆栈以前的样子,如果有传递参数,当函数执行完毕应该处理传递参数导致堆栈的变化。
