反汇编CALL地址

最新推荐文章于 2022-09-25 12:34:19 发布
最新推荐文章于 2022-09-25 12:34:19 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: VC&&C++ 文章标签: 汇编 assembly object byte file 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jasonnk/article/details/1504438
版权

一个问题难倒了好几天。。。终于解决了。
[code]反汇编by win32dsm
+++++++++++++++++++ ASSEMBLY CODE LISTING ++++++++++++++++++
//********************** Start of Code in Object .text **************
Program Entry Point = 00401014 (test.exe File Offset:00001239)


:00401000 6A40                    push 00000040
:00401002 6A00                    push 00000000
:00401004 6A00                    push 00000000
:00401006 6A00                    push 00000000
:00401008 E801000000              call 0040100E
:0040100D C3                      ret

* Referenced by a CALL at Address:
|:00401008  
|
:0040100E FF2500204000            jmp dword ptr [00402000] 

这里:00401008 E801000000              call 0040100E,E8代表call,但是01000000,怎么也对应不到0040100E上。
问题解答:
01000000 是数据内部存储的 Byte 格式, 作为一个表示偏移的 dword 来说, 其值为 00000010. 该偏移是 call 指令的目标地址和当前 call 指令的下一条指令首地址间的偏移. call 指令的下一条指令是 ret, 其地址为 0040100D. 所以, 目标地址就是 0040100D+00000001=0040100E 了

jasonnk
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
入门详细分析反汇编CALL
06-30
入门详细分析反汇编CALL,很不错的,是PDF格式,不过了也是转别人的,我认为对新手还是有一定的帮助的
菜鸟学反汇编10—call
yiyeqinghuasoon
12-25 293
#include<iostream> #include<iostream> using namespace std; using namespace std; void swap(int i,int j) void myswap(int &i,int &j) { { int a=i; int a=i; i=j; i=j; j=a;...
[教程]逆向反汇编第十课
immortal_mcl的专栏
10-10 589
<br />循环是高级语言中可以进行反向引用的一种语言形式,其他类型的分支语句(比如IF-THEN-ELSE等)都是由低向高地址区域走的.因此,通过这点可以较方便的将循环语句识别出来.如果确定某段代码是循环,就可以分析其计数器,一般是用ecx寄存器做计数器,也有用其他方法来控制循环的,如/"test eax,eax/"等. <br />看一个简单的循环代码: <br />xoreax,eax;eax清零 @@: incecx;计数 .... cmpecx,0A;循环10次 ;重复 <br
[11集]VB和OD反汇编逆向找CALL视频教程(全套:含VB超级模块、工具、源码、B站播放地址).rar
09-11
[11集]VB和OD反汇编逆向找CALL视频教程,全套:含VB超级模块、工具、源码、B站播放地址
游戏安全反汇编分析开启取消自动攻击call
11-08
游戏安全反汇编分析开启取消自动攻击call
C++ 逆向辅助学习----汇编基础 学习指令集原理与call原理跟使用 5
qq_42095701的博客
04-11 667
[bx]和loop指令 1.[bx]和内存单元的描述 1.1 [bx]是什么呢? 和[0]有些类似,[0]表示内存单元,它的偏移地址是0。 1.2 我们要完整地描述一个内存单元,需要两种信息: (1)内存单元的地址; (2)内存单元的长度(类型)。 我们用[0]...
找寻路CALL 、人物基址、模块基址思路
lygl35的博客
01-28 5835
1.打开游戏 2.打开CE 3.CE附加游戏 4.游戏里面打开地图,输入移动坐标,点击移动,角色开始移动。 5.CE里面搜索游戏里面输入的其中一个坐标,点首次搜索。 6.游戏里面修改坐标,点击移动,角色又开始移动。 7.CE里面搜索刚才修改的值 8.打开访问监视窗口 9.游戏里面角色再移动,出现访问指令,记住可能的地址 01E2F568 11.点运行让游戏跑起来 12. Ctrl+G ,输入刚才CE记录的地址 在这个地址 按F2下断点 14.点K 看谁调用的 15、可以看到调用 16、Ctr
C++反汇编 利用反汇编分析常见C/C++语句的底层实现(硬核)
ylh的博客
09-25 4648
解释了底层C语言的语句执行情况,在此后,我也会很多有意义的C++反汇编的代码,帮助大家理解C/C++的底层含义。
linux反汇编如何得到各个函数的地址,多种方法获取sys_call_table(linux系统调用表)的地址...
weixin_42504279的博客
05-08 894
syscall_call:call *sys_call_table(,%eax,4)假设我们没有vmlinux可供gdb反汇编,那也只有采用模拟的方式了,模拟出一个call *sys_call_table(,%eax,4),然后看其机器码,然后在system_call的附近基于这个特征进行寻找 :void fun1() { printf("fun1/n"); } void fun2() { pri...
直接call地址
chw_csdn_chw的专栏
02-13 1236
记得寒假期间搞过这个,找到一个函数的地址后,直接call 地址就相当于调用函数。procedure TForm1.Button5Click(Sender: TObject); var i:integer;begin asm     mov eax,offset Button2Click     mov i,eax end; showmessage(inttostr(i));// show出来4
x86反汇编程序
02-07
x86反汇编程序 该程序在维尔纽斯大学软件工程学位的第一学期期间作为一个可选项目编。 用x86汇编语言编的程序,可反汇编8086/8088汇编程序的主要指令。 反汇编的说明包括: * All MOV instructions * All PUSH instructions * All POP instructions * All ADD instructions * All SUB instructions * All INC instructions * All DEC instructions * All CMP instructions * All CALL instructions * All RET instructions * All JMP instructions * All conditional jump instructions * All INT inst
易语言-子程序反汇编易语言
06-25
子程序反汇编易语言源码 增强——(双引擎,四语法。) 核心引擎加入4.1 R172版本的BeaEngine引擎,比OD引擎更加稳定、快速,支持四种不同语法,可以加前缀,可以对齐。大部分代码重,修改十六进制文本的取法,加入复制代码功能。 说明——(一取,二反,三再反。) 第一步:取子程序指针,选择语法,按下反汇编。 第二步:找到反汇编代码(子程序封装)中的首个“call XXXXXXXX”,这是子程序的实际地址。 第三步:再次按下反汇编,如果在反汇编代码(真实子程序)中看到“retn”,就是函数返回或某个分支返回。如果没看到,可改变长度再次反汇编
C语言反汇编入门小知识
qq_35289660的博客
03-11 1426
C语言反汇编入门小知识 文章目录C语言反汇编入门小知识0 . 说明1 . 子函数常识2 . 本机宽度:32位1).函数传参2).局部变量:int型/char型3).局部变量:int型数组/char型数组3 . 64位的数据存储 0 . 说明 ​ 看滴水逆向视频总结笔记 ​ 编译器VC++6.0 ​ 主要总结一些C语言的反汇编常见的点。 1 . 子函数常识 ​ 参数传入堆栈 push eax ca...
call 地址计算
YuHengZuo的博客
03-07 3564
要CALL的地址 - 下一条指令地址 = E8 后面的硬编码E8 后面的硬编码 + 下一条指令地址 = CALL的地址
C++学习 <四> 汇编入门
JH_Cao的博客
03-10 1622
汇编入门
JMP 地址计算
08-08 4303
<br /> <br />在某些时候需要在代码中入JMP指令<br />JMP 二进制 =E9<br />比如我要 JMP到  7777ABCD<br />貌似E9 后跟的是RVA<br />所以<br />目标地址=指令所在地址+指令长度+RVA<br />即如果在 00552df7处 要跳到7777ABCD<br />那么<br />RVA=7777ABCD-00552df7-5=77227DD1<br />即在00552df7处入E977227DD1
关于call及jcc指令地址的说明
xbgprogrammer的专栏
05-19 1873
今天看了点汇编的东西,上面着jmp指令后面为偏移地址,这与反汇编代码中看到的汇编语言不太相符啊?不管我们自己汇编还是使用反编译器查看汇编代码,jmp指令后面的都是绝对地址啊!其实之前也想过这个问题,在理解WTL Thunk机制时,jmp机器码后面接的是相对偏移地址,但当时没有深究。为了便于研究,了如下代码 #include "stdafx.h" int fun(int a, int b
一种动态call地址查找及使用方法 -- QQ游戏斗地主角色版-喊话call定位技巧
12-30 751
前几天有网友问我,在游戏找call的时候遇到了动态地址的call,无法下手了, 什么情况呢?就是每次启动游戏,call的地址都会变化。。。。。。。。。。 这样,这个call就没发使用了,注意原因就是 基址重定位 的问题,想深入了解的同学,请自行百度”PE结构“去吧! 这里,我那QQ斗地主...
64位汇编实现windows反调试
最新发布
05-21
实现 Windows 反调试的方法很多,这里提供一种基于 64 位汇编的实现方式。 首先,我们需要知道常见的调试器调试程序的方式,例如使用软件断点、硬件断点、修改代码等。因此,我们可以通过以下方式来防止调试: 1. 检测调试器是否附加到当前进程。我们可以使用 `IsDebuggerPresent` 函数来检测。 2. 检测调试器是否存在。我们可以使用 `CheckRemoteDebuggerPresent` 函数来检测。 3. 检测硬件断点是否被设置。我们可以使用 `GetThreadContext` 函数来获取线程上下文,然后检查 `DR0` 到 `DR3` 是否被设置。 4. 检测调试器是否尝试修改代码段。我们可以使用 `VirtualProtect` 函数将代码段设置为只读,如果调试器尝试修改代码段,将会触发异常。 下面是一个简单的例子,演示了如何使用汇编语言实现上述方法: ```asm section .text global _start _start: ; 检测调试器是否附加 call check_debugger_present cmp eax, 0 je no_debugger ; 调试器存在,退出程序 mov eax, 1 xor ebx, ebx int 0x80 no_debugger: ; 检测硬件断点 call check_hardware_breakpoints cmp eax, 0 je no_hardware_breakpoints ; 硬件断点存在,退出程序 mov eax, 1 xor ebx, ebx int 0x80 no_hardware_breakpoints: ; 检测调试器是否尝试修改代码段 call check_code_modification cmp eax, 0 je no_code_modification ; 调试器尝试修改代码段,退出程序 mov eax, 1 xor ebx, ebx int 0x80 no_code_modification: ; 调试器不存在,继续执行程序 ; ... ; 程序的正常逻辑 check_debugger_present: ; 检测调试器是否附加 push ebp mov ebp, esp xor eax, eax mov edx, dword [fs:eax + 0x30] mov edx, dword [edx + 0x68] test byte [edx + 2], 1 setne al pop ebp ret check_hardware_breakpoints: ; 检测硬件断点 pushf xor eax, eax push eax popf pushf mov eax, dword [esp] xor eax, dword [esp + 4] test eax, 0x100 setne al popf ret check_code_modification: ; 检测调试器是否尝试修改代码段 push ebp mov ebp, esp push ebx push ecx push edx mov ebx, dword [ebp + 8] mov ecx, dword [ebp + 12] mov edx, dword [ebp + 16] mov eax, 0x40 mov edi, dword [fs:eax] mov eax, dword [edi + 0x18] sub eax, 0x30 mov eax, dword [eax] mov esi, dword [eax + 8] lodsd xchg eax, esi lodsd mov ebx, dword [eax] mov eax, dword [esp + 20] test byte [ebx + ecx], 0x90 jne code_modified mov eax, 0 jmp end_check_code_modification code_modified: mov eax, 1 end_check_code_modification: pop edx pop ecx pop ebx pop ebp ret 12 ``` 上述代码使用了三个汇编函数来检测调试器: 1. `check_debugger_present` 函数使用 `fs` 寄存器获取线程信息,并检查线程信息中的一个标志位,以确定调试器是否附加。 2. `check_hardware_breakpoints` 函数使用 `pushf` 和 `popf` 指令来获取标志寄存器的值,然后检查 `TF` 标志位,以确定是否有硬件断点被设置。 3. `check_code_modification` 函数使用 `fs` 寄存器获取进程信息,并检查代码段中是否有 `0x90` 指令被修改,以确定调试器是否尝试修改代码。 在主函数 `_start` 中,我们依次调用这三个函数来检测调试器。如果任何一个函数返回了非零值,说明调试器存在,程序将退出。否则,程序将继续执行正常的逻辑。 需要注意的是,上述代码只提供了一种基本的反调试实现方式,实际使用中需要根据具体的情况进行修改和完善。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值