X64基础(一)

最新推荐文章于 2024-06-07 15:58:44 发布
最新推荐文章于 2024-06-07 15:58:44 发布
阅读量832 收藏 1
点赞数 3
分类专栏: # X64 文章标签: 安全 windows X64
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Misaka10046/article/details/124212214
版权

寄存器

扩展

8位16位32位64位
alaxeaxrax
clcxecxrcx
dldxedxrdx
blbxebxrbx
ahspesprsp
chbpebprbp
dhsiesirsi
bhdiedirdi

新增

8位16位32位64位
r8br8wr8dr8
r9br9wr9dr9
r10br10wr10dr10
r11br11wr11dr11
r12br12wr12dr12
r13br13wr13dr13
r14br14wr14dr14
r15br15wr15dr15

128位 XMM0-XMM8
64位下入栈不能使用pushad 得用push rax rcx一个个入栈

地址

32位下是四字节 64位下是八字节 但是只有48位有效

64-48位47-0位
符号扩展位 要么全是0 要么全是1地址

地址范围是0xFFFF8000 00000000 ~ 0xFFFFFFFFF FFFFFFFF跟0x00000000 00000000 ~ 0x00007FFF FFFFFFFF 中间的0x00008000 00000000 ~ 0xFFFF7FFFF FFFFFFFF 为非法的地址
但是Intel规定的是48位有效 而微软只使用了44位
在这里插入图片描述

寻址

X86下寻址

寻址形式介绍
[base]基址
[disp32]偏移量
[base + index]基址 + 变址
[base + disp8/32]基址 + 偏移量
[base + index*scale + disp8/32]基址 + 变址 + 偏移量

CALL的寻址

X86
在这里插入图片描述
寻址为 (B9187C + 5) + FFFFF84C = 100B910CD

X64

在这里插入图片描述
寻址为 (7FF7B1711888 + 5) + FFFFF903 = 7FF7B1711190

参数的寻址

X86
在这里插入图片描述
直接寻址

X64
在这里插入图片描述
寻址为(7FF7B1711881 + 7)+ 839C = 7FF7B1719C24

X64使用内联汇编

源文件中添加
在这里插入图片描述
编写汇编代码
在这里插入图片描述
设置项类型
在这里插入图片描述新建一个头文件 导入汇编函数
在这里插入图片描述
然后就能直接用了
在这里插入图片描述

调用约定

X86
cdcel 参数都是从右向左通过堆栈传递 自动清理堆栈
stdcall 所有参数从右到左依次入栈 手动清理堆栈
thiscall 所有参数从右到左依次入栈 如果参数个数确定,this指针通过ecx传递给被调用者;如果参数个数不确定,this指针在所有参数压栈后被压入堆栈 对参数个数不定的,调用者清理堆栈,否则函数自己清理堆栈
fastcall 函数的第一个和第二个DWORD参数(或者尺寸更小的)通过ecx和edx传递,其他参数通过从右向左的顺序压栈 手动清理堆栈
X64
类似fastcall 第一个第二个第三第四参数 放入rcx rdx r8 r9
在这里插入图片描述

0xwangliang
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pusha/pushad指令
qq_36963214的博客
06-12 4858
pusha/pushad——push all the general-purpose registers Opcode Instruction Op/En 64-bit Mode Compat/Leg Mode Description 60 pusha np invalid valid Push AX, CX, DX, BX, original SP, BP, SI, and DI. 60 pushad np invalid valid Push EAX, ECX, EDX, EBX,
函数调用机制与堆栈空间
qq_61553520的博客
01-28 1250
cdcel:参数从右往左传递,外平栈stdcallcdcel:参数从右往左传递,内平栈thiscallecx用于传递this指针,他参数从右往左传递,内平栈。fastcallecx edx传递前两个参数,剩下的参数从右往左传递,内平栈。
x64进程远程hook,x64_远程调用函数,源码更新V1.8.2:2021/4/12-易语言
06-11
x64进程远程hook,x64_远程调用函数,源码更新V1.8.2:2021/4/12 源码为下方连接帖子后续更新内容: 浅谈64位进程远程hook技术: https://bbs.125.la/forum.php?mod=viewthreadtid=14666356extra= 不管您是转载还是使用请保留版权,源码在精益论坛免费发布本人未获利,请不要用于非法途径。 --------------------------------------------------------------- 2021/4/12 模块源码 v1.8.2更新 1:修复 x64_远调用函数()在 易语言 主线程调用时造成消息无法回调,导致易语言主线程窗口卡死的问题。      感谢楼下易友发现的BUG,已经第一时间更新 2021/4/12 模块源码 v1.8.1更新 1:修复 hook全部卸载时的流程写法的一个错误,由于句柄的提前关闭导致多个hook点卸载不干净的问题 2:改写了消息回调时线程传参的代码优化,优化了其他一些小问题 3:  鉴于很多朋友需要,改写了模块自带实列,对TCP,UDP的两组封包函数做了hook实列写法 4:列子中同样增加对x64_远调用函数()的应用写了几个列子,如使用套接字取得本地或远端IP端口API调用的的应用实列 5:本hook模块不支持非模块内存区hook,如申请的动态分配页等,不是不能支持,只是觉得没有任何意义,对这方面有需求的,自行改写模块源码使用 提醒:hook回调函数中尽量减少耗时代码,时间越长返回越慢,回调中谨慎操作控件,如必须要用到可参考源码中实列写法采用线程操作 历史更新 --------------------------------------------------------------- 2021/3/1   模块源码v1.6更新: 1:修复  x64_远程调用函数()命令,在没有提供 寄存器 参数时,没有返回值的BUG。 --------------------------------------------------------------- 2021/2/28 模块源码v1.5更新: 一:修复win7 64位系统下枚举模块 出现部分模块长度出现负数的问题,从而导致部分win7用户不能使用 二:强化 远程hook64指令_安装 的稳定性:        1,穿插代码中增加对标志位的保护,避免hook位置长度下一条指令为跳转时产生跳转错乱的问题,强化了hook任意位置的定位        2,因为穿插代码中会调用API函数,而64位汇编必须遵守栈指针16字节对齐,故对穿插代码进行栈指针16字节对齐,增强稳定性        3,hook指令安装支持长度由6-127字节 变动 为 6-119字节,原因么没必要说了,代码优化造成的,稍微少了一点无所谓了        4,对模块回调进行了适当优化处理,增强稳定性 三:应支持的朋友需要故增加 x64_远程调用函数()命令,易语言可以直接远call64进程,且无需写汇编代码或机器码指令,支持15个参数,支持返回值,支持16个通用寄存器全部取得返回值       该功能调用即16字节栈对齐,不要用户管堆栈,代码内部构成,远线程执行,你只需要知道call有几个参数,需要什么寄存器,对应提供即可。 四:有朋友说原模块x64英文看了烦,那好吧就给改成了中文标识,弄得我自己也不习惯 五:源码内列子改了改,可以自己看,需要注意的是模块注释的很详细,使用前最好看一看,尤其是hook回调接口的写法和安装的写法最好按照模块列子中的写法来,除非你能把64hook模块组看懂一遍,对于一些对本模块一知半解的朋友请不要乱改乱发,这个模块我会继续增强的,只是工作原因时间有限,只能一点一点来
x64架构下Linux系统函数调用
最新发布
qq_38350702的博客
06-07 58
call指令会将当前指令寄存器中的内容(即这条call指令下一条指令的地址,也就是函数执行完的返回地址)入栈,然后跳到函数对应的地址开始执行。ret指令用于从子函数中返回,ret指令会先弹出当前栈顶的数据,这个数据就是先前调用这个函数的call指令压入的“下一条指令的地址”,然后跳转到这个地址执行。ret指令用于从子函数中返回,ret指令会先弹出当前栈顶的数据,这个数据就是先前调用这个函数的call指令压入的“下一条指令的地址”,然后跳转到这个地址执行。pop指令将数据出栈并写入寄存器。
PUSHAD
zacklin的专栏
04-19 1873
汇编语言传送指令之一,与它相关的指令还有PUSHA,POPA/POPAD.它们配合使用用于8个16位/32位通用寄存器与堆栈之间的数据传送.  PUSHAD指令压入32位寄存器,使他们按照EDI,ESI,EBP,ESP,EBX,EDX,ECX,最后是EAX的顺序出现在堆栈中。  要注意,PUSHA/PUSHAD,POPA/POPAD从80286处理器开始使用.执行PUSHA/PUSHAD,POPA
微软x64常用汇编指令总结
小手琴师的博客
07-07 6224
这里写目录标题lea 直接读取有效地址值ret 函数返回xor 异或add 加法sub 减法inc 自增(increase)jmpcmpjneje lea 直接读取有效地址值 lea eax ,[1001H] lea作用是把 中括号里的值存入 寄存器里 把[1001H]里面的地址赋值给eax,也就是把1001H赋值给eax,执行之后的结果,是 eax = 1001H 等价于 mov eax , 1001H 通常做给c++指针赋值的时候使用这个指令,例如: int a = 3; // mov d
64位汇编跳转,64位HOOK
qq_36570644的博客
04-22 3261
传统JMP 只支持32位的程序, 64位程序的地址有 8个字节 ,直接JMP只支持4个字节,跳转的地址和HOOK地址相减超过4个字节 就会出错了 在64位 可以这样跳, push rax 保存寄存器 mov rax,目标绝对地址 jmp rax pop rax 还原寄存器 很简单,如果你分配的内存地址是64位的话。如: 504BEA0000, 根据我帖子里的回复,你可以这样 方...
BraveSetup-x64
12-12
BraveSetup-x64是专为64位操作系统设计的Brave浏览器安装程序。Brave浏览器是一款备受赞誉的网络浏览工具,它以其高效、安全和隐私保护特性在用户中赢得了高度评价。这款浏览器的核心特点包括以下几个方面: 1. **...
Yale_64x64
10-15
"Yale_64x64"数据集是计算机视觉领域中一个常用的...总之,"Yale_64x64"数据集是研究和开发人脸识别技术的宝贵资源,它涵盖了从基础的图像处理到复杂的深度学习模型等多个方面的知识,为研究人员提供了丰富的实践平台。
typora-setup-x64
03-25
总的来说,"typora-setup-x64.exe"是Typora在Windows 64位系统上运行的基础,通过简单的安装过程,用户可以享受到Typora所带来的优雅、直观的Markdown编辑体验。无论是进行日常笔记、编写技术文档,还是制作复杂的...
x64dbg调试软件源码
09-26
首先,我们需要了解x64dbg的基础架构。它主要由三部分组成:图形用户界面(GUI)、调试引擎和插件系统。GUI负责显示调试信息和交互操作,调试引擎则与操作系统内核进行交互,执行实际的调试任务,如读取内存、设置...
x64读写驱动源码
05-12
在Windows操作系统中,x64读写驱动是用于在64位环境下操作硬件或系统内存的特殊程序。这种驱动程序通常由系统内核加载,并在操作系统核心层运行,赋予其直接访问硬件资源的能力。了解和编写x64读写驱动对于深入理解...
汇编笔记_寄存器
baipu9288的博客
08-28 297
1 物理地址 地址加法器采用物理地址 = 段地址(SA) * 16 + 偏移地址(EA) 的方法合成。 基础地址 == 段地址 * 16 == 段地址左移1位 == 段地址后面加一位0; 基础地址一定是16的倍数,偏移地址的寻址范围为0~FFFFH,寻址能力为64KB(16位CPU,2 ^ 16 = 64),所以一个段的最大长度为64KB。 CPU可以用不同的段地址和偏移地址形成...
汇编语言(2)--过程
archli的博客
08-11 214
堆栈操作 ESP:堆栈指针寄存器。总是指向栈顶。 入栈操作:运行时堆栈在内存中是向下生长的,即从高地址向低地址扩展。 出栈操作:ESP之下的堆栈域在逻辑上是空白的,当前程序下一次执行任何数值入栈操作指令都可以覆盖这个区域。 堆栈应用: 当寄存器用于多个目的时,堆栈可以作为寄存器的一个方便的临时保存区。在寄存器被修改后,还可以恢复其初始值。 执行call指令时,cpu在堆栈中保存当前过程的返回地址...
pushad 和 pushfd
HelloKandy's Blog
12-26 5327
pushad:将所有的32位通用寄存器压入堆栈 pushfd:然后将32位标志寄存器EFLAGS压入堆栈 pusha:将所有的16位通用寄存器压入堆栈 pushf:将的16位标志寄存器EFLAGS压入堆栈 popad:将所有的32位通用寄存器取出堆栈 popfd:将32位标志寄存器EFLAGS取出堆栈 popa:将所有的16位通用寄存器取出堆栈 popf:将16位标志寄存器EFLA...
汇编指令细节篇
个人笔记
02-18 546
intel-x86前言汇编注意变量概念保留字预定义说明内容寄存器assume$当前地址计数器(有点指针的味道)EQU(类似define)INC | DECMOV 操作字符串64位MOV指令4种基本I/O控制方式MOVZX | MOVSXLAHF | SAHF 保存eflags寄存器XCHGNEGALIGNLENGTHOF运算符硬件如何检测溢出?LABEL伪指令(类似替代下方附近的别名)LOOPPUSHFD | POPFD (操作eflags)PUSHAD | POPAD(操作通用寄存器)USES运算符Mic
驱动编程学习2/x64汇编基础
Oldpudding的博客
11-19 1013
x64寄存器x64寄存器基本介绍对32位寄存器的操作立即数的使用优先使用偏移寻址对于超过32位地址的CALL及返回方式调用约定 x64寄存器基本介绍 x64模式下有16个通用寄存器可使用,和x86相比多出了r8-r15共8个寄存器,这些寄存器每个都能能拆分为rXd(dword),rXw(word),rXb(byte) rsp,rbp,rsi,rdi分别能分出最小单位spl,bpl,sil,dil,均为8位寄存器。 用户可用的寻址空间为00000000‘00000000-----00007FFF’FFFF
x86,x64汇编复习笔记
kernweak的博客
06-25 1506
The AMD64 architecture introduces these new features: Register Extensions - 8 new general-purpose registers (GPRs). - All 16 GPRs are 64 bits wide. - 8 new 128-bit XMM registers. - Uniform byte-regis...
X64架构汇编语言和操作系统基础
05-29
X64架构汇编语言是一种底层编程语言,用于编写操作系统和系统级软件。在X64架构下,汇编语言被用于控制硬件和执行低级操作,因此它比高级编程语言更接近计算机硬件。 操作系统基础是指操作系统的基本原理和概念。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值