170410 汇编-ret和call,OD-基本操作

最新推荐文章于 2019-08-04 19:27:14 发布
最新推荐文章于 2019-08-04 19:27:14 发布
阅读量1k 收藏 1
点赞数
分类专栏: 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/69950815
版权

1625-5 王子昂 总结《2017年4月10日》 【连续第191天总结】

A. 汇编语言 第十章 70%

OlleyDbg 基本操作

B. ret指令用栈中的数据修改IP的内容,从而实现近转移。相当于pop IP

retf指令用栈中的数据修改CS和IP的内容,从而实现远转移。相当于pop IP pop CS

call指令将当前的IP或CS和IP压入栈中,然后转移

call不能实现短转移,除此以外和jmp指令相同

当使用call 标号时,将当前的IP--注意:是call的下一个指令的IP(因为执行call前,IP就已经+3了)送入栈中

call+reg、call+内存地址(需使用word ptr/dword ptr注明长度)都跟jmp相同,只是要在跳转前将IP/CS和IP压入栈中


OD编译时优化选项按默认设置为Maximize speed。也可以按MinimizeSize优化选项编译一下进行比较,因为选项不同生成的汇编代码也会有所不同。

拆解一个Windows程序要比拆解一个DOS程序容易得多,因为在WIndows中,只要API函数被使用,想对寻找蛛丝马迹的人隐藏东西是比较困难的。因此分析一个程序,用什么API函数作为切入点就显得比较关键了。

一个TraceMe的序列号验证流程为:将姓名与序列号输入到文字框中,程序调用GetDlgItemTextA函数把字符读出来,然后进行计算,最后用函数lstrcmp进行比较。因此,这些调用的函数就是解密跟踪的目标,用这些函数作为断点,跟踪程序的序列号验证过程就能找出正确的序列号。

为了能让OD中断在程序的入口点,加载程序前必须要设置一下。调试选项配置对话框中,对Event标签里进行配置OD对中断入口点、模块加载、卸载、线程创建结束等事件的处理,一般调试只需要将暂停点设置在Entry point of main module 或WinMain即可。

System breakpoint:系统断点,OD用CreateProcessA加载DEBUG_ONLY_THIS_PROCESS参数执行,程序运行之后会触发一个INT3,在系统空间里

Entry point of main module:主模块的入口点,即文件的入口点

WinMain:程序的WinMain()函数入口点,即使设置这个选项,OD一般也只会中断在文件入口点处。

设置好后,打开程序。此时OD会中断在入口点,光标停在4013A0这行,即入口地址。

Ctrl+G可以直接查找源码中调用函数的位置,通过双击/F2可下断点

Alt+B可以打开断点窗口,对所有断点进行管理(暂停、恢复等等)

也可以通过Ctrl+N打开输入表,发现函数后按Enter或右键菜单执行Find references to import命令打开调用此函数的参考代码窗口,找到相应的代码

按Alt+F9回到调用函数的地方,也可以F8单步走出函数。

API函数基本采用的是__stdcall调用约定,即函数入口参数按从左到右的顺序入栈,并由被调用者清理栈中参数,返回值放在eax寄存器中。

观察内存可发现输入的字符,通过修改寄存器可以取消判断,或者让判断失效来达到爆破的目的

完成后可写入磁盘修改文件

C. 明日计划

汇编语言第十章

OD基本操作

奈沙夜影
关注
专栏目录
汇编-使用gcc进行汇编内容查看.pdf
02-06
- **-S**:仅执行预处理和编译阶段,不进行链接操作,生成汇编代码。 4. **查看汇编代码**: - **步骤**:使用GCC命令行参数配置编译选项,编译源代码生成汇编文件,最后通过文本编辑器查看汇编内容。 - **示例*...
OD常用汇编指令集详解简洁明了(初学破解必看)还有OD插件集合弄懂OD这些破解常用汇编指令
最新发布
china365love的博客
12-20 1275
对于初学破解的人来说,没有人指导OD指令集的具体意思,光靠自己摸索很费劲,如果靠的别人的教程按部就班去破解软件,那不是自己破解,没意思,只要弄懂OD这些破解常用汇编指令,那基本一些简单的软件还是可以靠自己慢慢摸索破解出来的。下面还有详细的OD指令集介绍,可以先看看。为了方便初学破解一下记不住这么多的OD指令集,下面我放了一个汇编指令集查询器,对于初学破解者可是省了很多事。初学破解者用,大神的路过。另外在底下附加OD插件集合。
OD寻找CALL
Xed
10-15 5348
 关键Call的找法一直都是个不大不小让人头痛的问题,需要大量的汇编代码分析,还需要很多测试工作,当然还有一种变态的方法,那就是用OD断下后,把前前后后所有的call都测试一边,也能找到关键call,不过面对大量的call和无数次挂游戏,恐怕这个方法只能在理论上实现了。      那么是否有既不需要看大量的汇编代码,有能够经过有限的几个测试找到关键call的方法呢,下面我就把一种另类的找法送给和我
非常简单的利用CreateProcess注入DLL的方法
zwfgdlc的专栏
04-20 5078
TCHAR szDll[] = TEXT("d:\\test.dll"); STARTUPINFO si = {0}; PROCESS_INFORMATION pi = {0}; si.cb = sizeof(si); si.dwFlags = STARTF_USESHOWWINDOW; si.wShowWindow = SW_SHOW; TCHAR szCommandLine[MAX_PATH]
CreateProcess注入方法
Lyntion的Blog
10-02 4934
采用CreateProcess的方法,实现起来比较复杂,但没有上面几种方法的局限性。且可以用其他工具(VC等)调试注入的DLL。下面进行介绍.原理如下: 1.  用CreateProcess(CREATE_SUSPENDED)启动目标进程。 2.  找到目标进程的入口,用ImageHlp中的函数可以实现。 3.  将目标进程入口的代码保存起来。 4.  在目标进程的入口写入LoadLi
编程相关 8086汇编基本指令 - PDF档
03-17
4. 控制流指令:这些指令改变程序执行顺序,包括跳转(`JMP`)、条件跳转(如`JE`、`JNE`、`JA`等)、循环(`LOOP`、`LOOPE`、`LOOPNE`)和子程序调用(`CALL`)与返回(`RET`)。 5. 处理器控制指令:例如`INT`...
第07章-call,ret1
08-03
在计算机编程中,`call` 和 `ret` 指令是x86汇编语言中的关键组成部分,特别是在处理函数调用和返回时。这两条指令对于理解程序流程至关重要,尤其是当你进行逆向工程或者调试时。在本章中,我们将深入探讨 `call` ...
cust-ret
03-18
Laravel拥有所有现代Web应用程序框架中最广泛,最全面的和视频教程库,因此轻而易举地开始使用该框架。 如果您不想读书,可以使用帮助。 Laracasts包含1500多个视频教程,涉及各种主题,包括Laravel,现代PHP,...
PC汇编语言 - Paul A. Carter
01-08
- **4.4 CALL 和 RET 指令** - 调用子程序和返回主程序的关键指令。 - **4.5 调用约定** - 确定子程序和调用者之间如何传递参数和清理堆栈的标准。 - **4.6 多模块程序** - 处理多个文件的编译和链接过程。 - **...
od脱壳软件破解工具
09-22
但愿大家互相进修进修,大家对于破解都不是很了解,人们想学破解,可是去无从入手,所以决议为大家写1个破解初级读物的教程,但愿能大家了解破解有一些帮忙,但愿能有更多的人踏入破解的大门   1.低级,修改步伐,用ultraedit等东西修改exe文件,称暴力破解,略称爆破   中级,追出软体的注册码   高级,开具注册机   2.经常使用破解东西   (1)侦壳东西:PEiD   (2)消息联合的OllyDbg引领破解东西的新潮水   一,此刻咱们起首来进修下破解的开端,爆破~   1.侦壳   要破解1个软体起主要做的就是侦壳,要侦壳就要对壳有绝对似的了解,家喻户晓,软体作者用编程语言编著好软体后,是将它编译成扩展名为EXE的可执行文件编译为EXE的目的有两点:   (1)有一些版权信息需要掩护起来,不克不及让别人随心改动,如作者的姓名、软体名称等;   (2)需要给步伐"瘦身",从而利便存储、使用以及网上传道输送   为了编译,会用到一些软体它们能将可执行文件压缩以及对信息加密(图1),实现上面所说的两个功效,这些个软体称为加壳软体为软体加上的东东就称为"壳"加壳软体差别于一般的WinZIP、WinRAR等打包类压缩软体加壳软体是压缩可执行文件的,压缩后的文件可以直接运行   最多见的加壳软体有3个:ASPACK 、UPX、PEcompact终究它们是主流,据计数,用它们加壳的软体约占市面所有软体的90%!其它不经常使用的加壳软体有ASPROTECT、PETITE 、NEOLITE、TELOCK等软体最多见的编程语言是Delphello,Visual Basic(略称VB),Visual C++(略称VC)了解些编程的常识,会让破解更加轻车熟道   底下来讲侦壳,此刻比力经常使用侦壳软体就PeiD,他具备华美的图形界面外壳整合(新增到鼠标右键)功效令使用更加利便,撑持拖放操作配置时,务请将"扩展到鼠标右键"打上对号   其使用要领是,鼠标点住XX.exe,按鼠标右键,选"使用PEid扫描"便可;"壳"的信息就显示在底部   2.破解东西OD   有关OD的先容我把他放到附件里了,这个是看雪论坛的先容,是比力周全的,至少我感觉比我写的要好,所以大家根据他可以大好的了解OD   3.爆破实例   爆破是破解的开端,所说的爆破,就是指路程经过过程修改可执行文件的源文件,降临达相应的目的你半大白?呵呵,举个例子好了,好比说某同享软体,它比力用户输入的注册码,要是用户输入的,跟它路程经过过程用户名(或其它)算出来的注册码相等的话(也就是说用户输入的注册码不错了),那末它就会跳到注册乐成的处所去,不然就跳到堕落的处所去   大白过来了吧,咱们只要找到这个跳转指令,把它修改成咱们需要的"造型",如许,咱们是否就可认随心所欲了?   一,破解时经常使用的汇编指令如下,汇编较弱者可先强行违住,以后就可逐步理解了   cmp a,b //比力a与b   mov a,b //把b的值送给a,使a=b   ret //归回主步伐   nop //无效用,英文"no operation"的简写,意思是"do nothellong"(呆板码90) (解释:ultraedit打开编辑exe文件时瞅见90,等同于汇编语句nop)   call //挪用子步伐,子步伐以ret末端   je 或jz //若相等则跳(呆板码74 或0F84)   jne或jnz //若不相等则跳(呆板码75或0F85)   jmp //无前提跳(呆板码EB)   jb //若小于则跳   ja //若大于则跳   jg //若大于则跳   jge //若大于等于则跳   jl //若小于则跳   jle //若小于等于则跳   pop xx //xx出栈   push xx //xx压栈   更为具体的指令请查阅汇编册本   4.破解常见修改,参看表1   汇编指令修改 相应的呆板码修改(路程经过过程16进制编辑器实现)   jnz/jne->nop 75->90   jnz/jne -> jmp 75-> EB   jz/je->nop 74->90   jz/je -> jmp 74-> EB   jnz -> jz 75->74 或 0F 85 -> 0F 84   jz -> jnz 74->75 或 0F 84 -> 0F 85   jnz -> jz 75->74 或 0F 85 -> 0F 84   je-> jne 74->75 或 0F 84 -> 0F 85   表1
od基础找call课程讲解练习
01-15
od视频讲解 通过实例学习od 学习call 找call 和call的使用
比较全面的OD指令
yuyin555的专栏
05-17 801
OD汇编指令 NOP 无操作 PUSH 将数据压如堆栈中 POP 出栈(与PUSH相反) PUSHAD 所有通用寄存器的内容按一定顺序压入到堆栈中,相当于’PUSHEAX,PUSH ECX,PUSH EDX,PUSH EBX,PUSH ESP,PUSH EBP,PUSH ESI, PUSH EDI...
od的简单使用--(1)
菜瓜的博客
08-04 6099
od的简单使用——(1) 一,本教程需要的工具OllyDBG 下载: OllyDBG中各个窗口的功能如上图。简单解释一下各个窗口的功能,更详细的内容可以参考TT小组翻译的中文帮助:反汇编窗口:显示被调试程序的反汇编代码,标题栏上的地址、HEX数据、反汇编、注释可以通过在窗口中右击出现的菜单界面选项->隐藏标题或显示标题来进行切换是否显示。用鼠标左键点击注释标签可...
汇编指令手册
要饭's Blog
06-13 4394
 一、数据传输指令  它们在存贮器和寄存器、寄存器和输入输出端口之间传送数据.  1. 通用数据传送指令.    MOV  传送字或字节.    MOVSX 先符号扩展,再传送.    MOVZX 先零扩展,再传送.    PUSH  把字压入堆栈.    POP  把字弹出堆栈.    PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.    POPA  把DI,SI
OD学习笔记
心之所向,身之所往
06-08 3841
1、OD与IDA是两个常用工具。OD是动态分析,IDA是静态分析。 2、F2下断点,F3加载一个可执行程序。 3、Call *** 按F7可以进入该函数内部,Ctrl + F9运行至ret出,就可以返回程序了。 4、Alt + B打开断点编辑器,用于取消断点,del或者空格取消断点。
从零开始的程序逆向之路 第一章——认识OD(Ollydbg)以及常用汇编扫盲
dfdhxb995397的博客
07-23 1327
作者:Crazyman_Army 原文来自:https://bbs.ichunqiu.com/thread-43041-1-1.html 0×00序言: 1.自从上次笔者调戏完盗取文件密码大黑客后,这激发了笔者的创作热情,就给大家带来程序逆向系列,当然有一些地方还是有所欠缺,请大家在私聊中指出我文中的错误,我会加以改正。 2.本篇教程每篇文章都会在附件中给出一个程序...
RET指令
chenliujiang1989的专栏
12-27 7633
一.ret指令用栈中的数据,修改IP的内容,从而实现近转移;  CPU执行ret指令时,进行下面两步操作: a)         (1)(IP)=((ss)*16+(sp)) b)        (2)(sp)=(sp)+2 二.retf指令用栈中的数据,修改CS和IP的内容,从而实现远转移;    CPU执行retf指令时,进行下面两步操作: a)         (1)(IP)=(
汇编语言:call与ret指令详解
"《汇编语言》(王爽)第10章_call_和_ret_指令" 在计算机编程中,汇编语言是与机器语言紧密相关的低级编程语言,它允许程序员直接控制计算机硬件。《汇编语言》是王爽所著的一本经典教材,深入浅出地介绍了汇编语言...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值