- 博客(23)
- 资源 (9)
- 收藏
- 关注
RSS订阅原创 分支语句判断
分支语句的反汇编识别 一、IF语句1.概述如果看到指令 cmp(准确的说是映像标志位的寄存器) jxx 很有可能就是if语句。只有小于等于的,就跳转,跳转意味这if后面的代码不执行。一旦表达式成立,就跳 汇编翻译c语言是反的。 因为c语言里是条件成立就执行,汇编说的是跳转的条件,条件成立就跳走了,嗲代码不执行。 逻辑是反的。如果单纯的要把指令对上,会累死人的,要了
2016-06-05 21:28:48
1362
原创 关于一个call的分析2
关于一个简单call的分析2一、汇编代码push ebpmov ebp,espsub ebp,0x48push ebxpush esipush edilea edi,[ebp-0x48]mov ecx,0x12 mov eax,0xccccccccrep stos dowrd ptr ds:[edi] mov eax,dowrd ptr ds:[ebp+8]cmp eax,
2016-06-05 21:27:04
453
原创 进制
进制3进制定义由3个符号组成,分别是0.1.2逢3进1 22+ 1------ 0 0 0 0 1 2 10 11 12 20 21 22 100 101 102 110 111 112 120 121 122 200 201 202 210 211 212 220 2
2016-06-05 17:40:49
490
原创 逻辑运算&(2+3的计算过程)
一、逻辑运算或(or |):只要有1个就是1(逻辑电路)与(and &):两个都为1才是1异或(xor ^):两个不一样才是1. 这个电路图很有意思。非(not !):1是0,0是1.左移(<<):0010<< 0100.要记住那张异或、的逻辑电路图。 二、计算过程(1)2+3x:2 y:3 0010 0011 xor-----------
2016-06-05 17:37:19
5544
原创 关于call有几个参数
关于call有几个参数学习调用约定:逆别人程序的时候,明明有参数,但是没发现push。Cdecl:默认的调用约定。int __cdecl printf (43: const char *format,44: ...45: )做逆向的时候,根据什么分析别人函数有几个参数呢,最靠谱的就是一行一行分析,结合ret 以及函数前面数据。一、一般情况:
2016-06-05 17:19:02
3116
原创 逆向程序
逆向一段程序一、从整体上了解一个EXE程序 从整体上认识这一堆二进制数据。(相当于你到北京来需要买一个地图。) 任何一个在win上运行的可执行文件都需要遵守一定的格式,这个结构就是PE(exe。Dll。sys)。为什么要了解PE结构。如果分析一个程序,那么有几个步骤:第一:程序是从哪里开始执行的。第二:代码藏在哪里。代码基址()。第三:数据藏在哪里。数据的基址()。不管数据还是代
2016-06-03 12:25:33
1303
1
原创 Markdown--从入门到精通
Markdown–从入门到精通导语 [markDown–汉语语法] (http://www.appinn.com/markdown/) [wiki–markDown 语法] (https://en.wikipedia.org/wiki/Markdown#Example)一、认识我的文档1编序号2引用3图片、链接4粗体、斜体5表格6代码7分割线编序号无序你就是我的唯一
2016-06-03 10:01:54
1103
1
原创 标志寄存器
标志寄存器 Jcc决定了cpu怎么走,标志寄存器决定了jcc。Cpza(0246)stdo 如果有两个不会的问题,先搞定一个,不会一起搞定两。(1)进位标志位CF(carry flag):如果运算结果的最高位产生了一个进位或借位,那么 研究位的时候要先确定数据宽度。77A51314 B8 FFFF5555 mov eax,0x5555FFFF :eax == 0x55
2016-06-03 09:04:17
564
1
转载 汇编语言 标志位介绍
http://blog.csdn.net/iamduoluo/article/details/6932429 一、运算结果标志位1、进位标志CF(Carry Flag)进位标志CF主要用来反映运算是否产生进位或借位。如果运算结果的最高位产生了一个进位或借位,那么,其值为1,否则其值为0。使用该标志位的情况有:多字(字节)数的加减运算,无符号数的大小比较运算,移位操作,字(字节)之间移位,专门改变C
2016-06-03 08:16:00
1157
转载 Dom4j解析xml文件---上篇
http://blog.csdn.net/u010850027/article/details/51523803xml小伙伴们并不陌生,xml是可扩展标记语言,标准通用标记语言语言的子集,是一种用来标记电子文件使其具有结构性的标记语言。我们知道xml可以用dom与sax等方法进行解析,但是xml为什么要解析呢?为什么html就不用解析?小伙伴们可以思考一下,我们知道xml和html都是标签化的代码,
2016-06-03 07:41:47
394
转载 深入浅出如何解析xml文件---下篇(转)
http://blog.csdn.net/u010850027/article/details/51499832 在上篇博文中,小编主要介绍xml的两种解析方式,分别是dom4j和dom,今天这篇博文,小编主要来简单介绍一下xml的其她两种解析方式sax和jdom。 sax解析xml文件 sax,全称是Simple API for XML ,即是一种接口,也是一种软件包,她也是
2016-06-03 07:39:57
298
原创 寻址方式
内存Mov eax,dword ptr ds:[ecx + eax*2] :[]里面就是地址编号。1 寻址公式一:[立即数](1)读取内存的值:mov eax,dword ptr ds:[0x13FFC4]mov ebx,dword ptr ds:[0x13FFC8] (2)向内存中写入数据: mov dword ptr ds:[0x13FFC4],eax mo
2016-06-03 07:35:37
636
原创 汇编指令
1 adc(carry)指令:带进位的加法77A5134C 10C8 adc al,cl :al==1,cl==2,c位==1, al==477A5134E 8015 40F31B00>adc byte ptr ds:[0x1BF340],0x2 77A5134E 【0x0x1BF340】==000008 ,c位==1, 77A5134E
2016-06-03 07:14:31
3335
2
原创 裸函数_与调用约定
注意1:int __declspec(naked) __fastcall Test_fastcall(int x,int y,int m,int n) 顺序不能乱
2016-06-02 23:37:46
725
2
原创 调用约定
常见的几种调用约定 调用约定 参数压栈顺序 平衡堆栈__cdecl 从右至左入栈 调用者清理栈__stdcall 从右至左入栈 自身清理堆栈__fastcall ECX/EDX传送前两个 自身清理堆栈 剩下:从右至左入栈 你希望很快,所以定义在2个参数内,参数超过2个,就不是很快了,也是用堆
2016-06-02 23:12:31
369
原创 程序入口--专题
3函数入口点 调用堆栈 Test: 1_26_T_裸函数.exe!Test() 行 90 kernel32.dll!775a337a() 未知 ntdll.dll!77c39882() 未知 ntdll.dll!77c39855() 未知默认: > 1_26_T_裸函数.exe!wmain(int argc, wc
2016-06-02 22:53:49
349
转载 movsx-movzx(转)
2.5.2.3 符号扩展与零扩展指令 2012-09-29 14:12:46 我来说两句 收藏 我要投稿 本文所属图书 > x86/x64体系探索及编程 本书是对Intel手册所述处理器架构的探索和论证。全书共五大部分,从多个方面对处理器架构相关的知识进行了梳理介绍。书中每个章节都有相应的测试实验,所运行的实验例子都可以在真实的机器上执行。通过阅读本书,… 立即去当当网订购
2016-06-02 13:03:09
1358
Sample_OnlyForTest_wsf_vbs类型
2017-09-12
js_analysis_对应blog-js2.7z
2017-09-12
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人