逆向汇编与反汇编——汇编基础快速入门

一、常用32位寄存器介绍 

 不同位数的寄存器的名称： 

eax：累加寄存器。通常用于算数运算，将结果保留在eax当中，当然也可以用于其他用途，比如一般把返回值通过eax传递出去。

ebx：基址寄存器 。有点类似于ebp，代表基础地址，加上偏移量可以得到新的地址

ecx：计数寄存器。用来存储循环的次数，同时也常用于保存this指针。每循环一次，ecx-1

edx：数据寄存器。通常配合eax来使用。例如上面的mov ebx,10 ；div ebx ；由于除数ebx是32位，所以被除数是64位的(高32：edx，低32：eax)

将数据从原地址转移到目的地址

使用REPE MOVSB(move string byte)实现字符串复制：

MOV ESI, source_address    ; 将源字符串的起始地址加载到ESI
MOV EDI, destination_address   ; 将目标字符串的起始地址加载到EDI
MOV ECX, length      ; 将字符串的长度加载到ECX
 
REPE MOVSB    ; 从源字符串复制数据到目标字符串，重复ECX次

 使用REPE STOSB(store string byte)实现固定字符串填充：

MOV EDI, destination_address   ; 将目标字符串的起始地址加载到EDI
MOV AL, value    ; 将要填充的值加载到AL寄存器
MOV ECX, length      ; 将字符串的长度加载到ECX
 
REPE STOSB    ; 将值填充到目标字符串，重复ECX次

ebp与esp结合使用

因为esp经常变化，所以把esp保存在ebp这里

eip就是下一次要执行的指令的地址

其中最重要的就是ZF 

直接寻址：读写变量

int x = 10;
00BF1836  mov         dword ptr [x],0Ah  

寄存器寻址：指针解引用 

int* p = &x;
00EC1836  lea         eax,[x]  
00EC1839  mov         dword ptr [p],eax  

寄存器相对寻址：访问数组和结构体

访问数组：

int arr[4] = { 1,2,3,4 };
005C1825  mov         dword ptr [ebp-20h],1  
005C182C  mov         dword ptr [ebp-1Ch],2  
005C1833  mov         dword ptr [ebp-18h],3  
005C183A  mov         dword ptr [ebp-14h],4  

 访问结构体：

Student st;
    st.age = 10;
001C48E5  mov         dword ptr [ebp-0Ch],0Ah  
    st.agender = 1;
001C48EC  mov         byte ptr [ebp-8],1  
    st.score = 100;
001C48F0  mov         eax,64h  
001C48F5  mov         word ptr [ebp-6],ax 

Linux常用AT&T ，Windows使用intel格式

lea取地址指令

比如：lea dword ptr ds:[0xAAAAAAAA]

mov eax,10+3        （×)        mov eax,13        (√)

TEST将A和B做逻辑与，和AND的区别：TEST 不改变A的值

比如：AND eax,ebx ->会把eax与ebx做与运算，并把结果赋值给eax

而TEST eax,ebx则不会赋值给eax，而只是会影响标志位

test eax,eax 》会影响ZF标志位

JZ 0x123

CMP eax,0 (eax-0也是只影响ZF标志位)

JZ 0x123

条件跳转：JNZ JA等等

无条件跳转：JMP

NEG：0-操作数

NOT：逻辑取反(真->反)

1）movzx和movsx指令介绍

凡是带mov的指令都是用于数据传输：

mov在使用的过程当中，他的两边的操作数的位数应该是一样的

而movzx/movsx要求右边宽度必须小于左边

要求：操作数1是寄存器，op2是寄存器或者内存，不能是立即数

movzx eax,byte ptr [0x123] 》

高位没有使用的部分全部用0填充

这就非常类似数据类型之间的转换，比如char -> int类型

在od里面双击寄存器可以直接修改它的值

movsx eax,cx当中eax的高位全部使用符号位(0/1)来填充，比如：

mov ecx,0x00000088

movsx eax,cx

》结果就是eax=0xffffff88

总结一下：movzx直接不管九九八十一，最高位全部填0，而movsx则根据cx的最高位，把eax的高位全部填上符号位(0/1)

2）Test指令介绍

1.Test用来测试一个位，例如寄存器：

test eax，100b；b后缀意为二进制

jnz 0x1234；如果eax右数第三个位为1，jnz将会跳转

我是这样想的，jnz跳转的条件是ZF=0,ZF=0意味着ZF(零标志)没被置位，即逻辑与结果为1。

2.Test的一个非常普遍的用法是用来测试一方寄存器是否为空：

test ecx, ecx

jz somewhere

如果ecx为零，设置ZF零标志为1，jz跳转。

二、C++函数入口深度剖析

int argc(argument count) ，char*argv[](argument varable) 

函数调用栈：kernel32 -> mainCRTStartup -> main

CRT：C Run Time：C运行库

获取操作系统版本，在控制台程序是在命令行运行的

netstat -ano 可以加上一个命令行参数

环境变量，有变量名和值

为什么输入cmd可以进入shell执行程序呢？

》因为环境变量，执行程序会在当前环境变量当中去找/系统路径去找，如果找到了就会执行

环境变量%temp%就会打开他的值所指示的路径

把获取到的参数的数量保存在argc，把每一个参数的首地址保存在argv这个数组里面

setenvp把环境变量的地址分别保存

cinit初始化全局变量，静态变量，就比如类的构造函数执行之前他的静态成员就已经存在了

main实际push了三个参数，其中环境变量这个参数是不需要程序员来进行操作的，所以由运行库来给他填充进来就可以了

一个函数的返回值是放在eax当中的

最终main的底层是调用exit函数来进行退出的

 如何使用反汇编工具识别main函数？

将exe拖入od，main在cinit后面

od如何安装插件？ 

ida使用：

debug版本有调试的信息，release发行版不包含调试信息，所以无法在VS里面调试，即使打了断点也直接就运行完了

start才是程序执行的入口

不用连接服务器获取调试信息

保存数据库就保存了一个MAIN.idb的数据库文件，如果我们自己修改了程序的内容，他就会保存在这个文件里面，下次直接打开这个就好，而不会破坏源文件，当然也可以直接保存到原文件