X64 汇编入门

最新推荐文章于 2024-08-15 17:05:52 发布
最新推荐文章于 2024-08-15 17:05:52 发布
阅读量2.3k 收藏 10
点赞数 2
分类专栏: Linux 编程基础 文章标签: 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lqw198421/article/details/105210213
版权

目录

前言

64位和32位汇编的差异

示例说明

 

前言

公司项目需要实现通过汇编来获取调用栈的功能,自己写了一个,直接崩溃,回头学习一下,以此为记;

64位和32位汇编的差异

这方面我现在涉及的不多,就不展开了,大家可以自己去查一下资料,或者直接参考一下下面的链接:

https://blog.csdn.net/qq_29343201/article/details/51278798

示例说明

重头戏来了,先上C源码:

#include <stdio.h>
#include <stdlib.h>
//gcc test.c -o test -g

int SumFunc(int a, int b)
{
	int sum = 0;
	sum = a + b;
	return sum;
}

int main(int argc, char* argv[])
{
    int a = 3;
    int b = 4;
    int sum = 0;
    sum = SumFunc(a, b);
    printf("sum = %d\n",sum);

    return 0;
}

编译后,通过objdump看一下汇编代码:

注意AT&T和Intel的汇编的差异,后面不再说了;

开始GDB之:

前面几步没啥好说的,主要是关注RBP、RSP、RIP这3个,然后直接到关键点:

输入si[注意一定是si,不能是ni],执行单条汇编命令跳入函数,也就是执行call 0x40052d,注意RSP、RIP以及stack的变化:

发生变化的寄存器:

1、RIP

变化是正常的,RIP每一步都会变换;但是注意SumFunc里的push rbp还没有执行——这是下一个要执行的指令——那么变化了的RIP到底执行了什么?

2、RSP

原来:

现在:

——这里有点奇怪!

首先看一下RSP当前指向的是啥:

可以看到,RSP入栈了main函数里call SumFunc后的下一条指令——这就很清楚了,这是保护现场,用于在SumFunc完成调用后继续执行main流程的下一步;

所以,RSP减少了 0x7fffffffe170 - 0x7fffffffe168 = 8[这里注意不是10-8=2,而是(F+1)-8 = 8],就是RIP寄存器的大小(8字节),等于是把一条汇编指令入栈;

同时可以得到这个结论:

在汇编代码里,call 一个函数的时候,其实是调用了 push RIP;

下面继续:

从上面的截图也可以看到,进入SumFunc后,前两条汇编是:

一般进入每个函数的开始都是这两条;下面来分析一下这两条指令做了什么;

1. push rbp

很明显,就是把rbp入栈;rbp里保存的是什么呢?

rbp指向的是:

从开始到现在,rbp的值还没有变化过,用下面的图可以简单表示:

——上面这个截图有个错误,就是edi应该是占4个字节,rdi才是8字节,edi是指rdi的低32位;

在进入SumFunc时,执行第一句 push rbp前,当前的栈,以及各个寄存器的情况:

现在我们执行push rbp:

可以发现,入栈后,rbp的值没有变化,还是190,而rsp的值又减小了8——符合预期,现在的栈的情况:

在GDB调试界面上输入ni,执行mov rbp, rsp,就是把rsp的值赋给rbp,rsp的值不发生变化,而rbp从原来的190变为160:

然后继续执行,下面两句汇编是从edi和esi中获取入参,放入rbp相应的位置上,供后面相加使用:

——这里有一点需要注意:在64位汇编中,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。在本例中就是:

简单来说就是把原来存储入参的寄存器的值转移到eax和edx中,然后进行add的操作;在执行完add操作后,会把sum写入到rbp-0x4中;

再执行pop rbp的操作,在上述过程中,rsp和rbp一直没有发生变化,都是160,并且rbp在rsp的栈顶:

 

rbp和rsp均发生了变化:

1.rsp:

pop是做出栈的动作,所以rsp应该是增加8,变为168

2.rbp:

pop rbp,对于rbp而言,应该是rbp = pop(rsp),等于是把栈顶的值赋给rbp

这里注意:0x7fffffffe160是栈顶的地址,其对应的值是0x7fffffffe190,所以pop后,rbp的值是0x7fffffffe190;

 

再执行ret,回到main函数内,注意rsp和rip的变化

可以看到rsp做了pop的动作,并且把pop的值赋给了rip,所以通过这里可以得到结论:

ret ====> pop rip

接下来就是调用printf函数打印的过程了,中间涉及一点,就是调用SumFunc时,返回的返回值是保存在eax里的——64位汇编里,函数返回值结果一般保存在rax或者eax(rax的低32位)中;

另外需要注意,在3和4时,rbp已经发生了变化,但对整个分析没有影响,因为结果是放在eax中的,使用eax进行函数结果的返回;

而edi中存储的则是printf函数的第一个参数:

至此,整个过程可以说告一段落;

lqw198421
关注
专栏目录
x86-x64汇编语言、反汇编知识和IDA
m0_61634551的博客
01-20 1031
x86寄存器:通用寄存器:EAX, EBX, ECX, EDX, ESI, EDI栈顶指针寄存器:ESP栈底指针寄存器:EBP指令计数器:EIP段寄存器:CS, DS, ES, FS, GS, SSx86-64寄存器:(把E改成R)通用寄存器:RAX, RBX, RCX, RDX, RSI, RDI,R8-R15栈顶指针寄存器:RSP栈底指针寄存器:RBP指令计数器:RIP段寄存器:CS, DS, ES, FS, GS, SS16位寄存器:(把E或R删了)
x64汇编
南宫封清的博客
09-15 7030
x64是AMD64与Intel64的合称,是指与现有x86兼容的64位CPU。在64位系统中,内存地址为64位。x64为环境下寄存器有较大的变化。 x64系统通用寄存器的名称,第1个字母从"E"改为"R"(例如"RAX"), 大小扩展到64位,数量增加了8个(R8~R15), 扩充了8个128位XMM寄存器(在64位程序中,XMM寄存器经常被用来优化代码)。64位寄存器与x86下的32位寄存器兼容,例如RAX(64位)、EAX(32位)、AX(低16位)、AL(低8位)、AH(8-15位)。 x64新扩展的
x64汇编语言与逆向工程基础指南(一)
最新发布
qq_74259765的博客
08-15 1271
x64dbg安装与基本修改
第五章:VS中使用X64汇编
kingswb的博客
03-20 4576
需要注意的是,在X86项目中,可以使用__asm{}来嵌入汇编代码,但是在X64项目中,再也不能使用__asm{}来编写嵌入式汇编程序了,必须使用专门的.asm汇编文件来编写相应的汇编代码,然后在其它地方来调用这些汇编代码。   那么,如何在VS中使用X64汇编呢?本例子将演示如何在汇编文件中使用.c或者.cpp源文件中定义的函数和变量,以及如何在.c或者.cpp中使用汇编文件中定义的函数。
X64汇编编码参考资料合集
10-24
X64汇编编码参考资料合集,目前市面上主流的资料都有,很详细
x64汇编编程书籍
10-26
The purpose of this text is to provide a reference for University level assembly language and systems programming courses. Specifically, this text addresses the x86-641 instruction set for the popular x86-64 class of processors using the Ubuntu 64-bit Operating System (OS). While the provided code and various examples should work under any Linux-based 64-bit OS, they have only been tested under Ubuntu 14.04 LTS (64-bit).
x64汇编要点总结
More reading and learning to become excellent
01-18 1999
int a = 1; mov dword ptr [ebp - 8], 1 int b = 2; mov dword ptr [ebp - 14h],2 int c = a + b; mov eax, dword ptr [ebp - 8] ...
x64汇编语言例子
LeeMarx的专栏
04-19 3044
我写了一个基本的x64汇编语言,是windows界面的include  windows.incinclude  kernel32.incinclude  user32.incinclude  gdi32.incinclude  string.incincludelib kernel32.libincludelib user32.libincludelib gdi32.lib;includel
Windows_X64汇编入门.doc
12-30
【Windows X64汇编入门】是一篇针对在Windows Vista 64位环境下进行汇编编程的初学者的教程。文章作者强调了四个关键点:(1)Windows环境,即程序设计是在Windows平台上,利用Windows API;(2)X64,指的是AMD64和...
学习 x64 汇编
pureman_mega的博客
12-15 2334
开发环境:vs 2019 c工程里面 添加asm 文件,执行64位汇编代码。 代码做了 点什么: 1,通过gs寄存器获取模块基地址 2,通过基地址获取导出函数----api 地址 3,通过api做点其他的事情 参考: 1,通过gs 寄存器获取模块基地址https://www.cnblogs.com/aliflycoris/p/5185097.html 2,64位汇编 传参 特点 https://blog.csdn.net/weixin_30725315/article/detail...
Windows X64汇编入门
11-27
Windows X64汇编入门 最近断断续续接触了些64位汇编的知识,这里小结一下,一是阶段学习的回顾,二是希望对64位汇编新手有所帮助。
x64下实现内嵌汇编
09-02
x64下实现内嵌汇编,不是采用OBJ的模式,直接把汇编转换成机器代码,让后内嵌机器代码,参数传递按照x64约定。
Win10_x64_汇编环境.rar
01-24
Win10_x64_汇编环境.rar,包含汇编所需的编译,连接,运行等环境。
可以开发64位的汇编语言
09-21
可以开发64位的汇编语言,使用简单,开源程序
X64位-汇编语言-汇编补丁-参数传递-堆栈对齐
插件开发
05-10 1903
文章目录1.32位指令区别2.64位指令文件执行3.64位调用约定4.当调用子函数时,堆栈指针RSP必须在16字节边界对齐上5.子函数开始预留空间计算6.总结   进行任意软件的汇编补丁开发,需要对汇编语言有一定程度的了解,本人在补丁开发过程中,经常遇到各类问题,究其根本还是源于对汇编的一些规则了解不够,本文整理X64汇编,为大家做参考。 1.32位指令区别   64位指令集是在32位指令集上的扩展和发展,EIP扩展为RIP,EFLAGS扩展为RFLAGS。浮点栈寄存器没有变化,多媒体寄存器多个8个寄存器
X64(64位)汇编指令与机器码转换原理
百里杨的博客
11-01 4662
REX.W说明需要REX前缀,REX格式为0100WRXB,W表示操作数宽度,W=1表示64位,X位默认为0,因此REX=01001001=49h。REX.W说明需要REX前缀,REX格式为0100WRXB,W表示操作数宽度,W=1表示64位,X位默认为0,因此REX=01001001=49h。REX.W说明需要REX前缀,REX格式为0100WRXB,W表示操作数宽度,W=1表示64位,X位默认为0,因此REX=01001001=49h。第二步,以寄存器操作数,反推ModRM.reg与REX.R。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lqw198421

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值