逆向工程之汇编基础

最新推荐文章于 2024-07-08 19:25:51 发布
最新推荐文章于 2024-07-08 19:25:51 发布
阅读量775 收藏 5
点赞数 1
分类专栏: 逆向工程 文章标签: 汇编 指令 逆向 IA-32 寄存器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luguifang2011/article/details/89342777
版权

1.1 寄存器

以下是通用寄存器(除了非通用寄存器还有EIP指令指针寄存器)

多数字符串指令通常把ECX用作计数器,把ESI作为源指针,把EDI作为目的指针,通常情况下栈操作会使用EBP和ESP。除了通用寄存器和EIP指令寄存器外还有6个16位段寄存器

代码段:CS

数据段:DS

栈段: SS

额外段:ES、FS及GS 三个为额外通用目的段

段寄存器包含我们称之为段选择子的指针,通常以偏移量的基地址形式出项例如:

mov DS:[eax],ebx

ebx 寄存器中的内容被复制到eax制定的数据段里的一个偏移地址,这个地址解释为“DS的地址加上EAX的值”段选择子是16位段标识符,也就是说段选择子不直接指向段,而是指向定义段的段描述符。因此段寄存器指向段选择子,用于确定8192个可能标识段的段描述符中的一个

段选择子结构相对简单,3-15位用作描述表的索引(三个内存管理寄存器之一),第2位指定正确的描述符表,低两位指定请求的特权级。

EFLAGS 寄存器也很重要它包含了各种标志,指示当前指令执行后的状态、情形、当前的特权级、以及是否允许中断等内容。

1.2  IA-32处理器操作模式

     IA-32处理器有三种操作模式和一种伪操作模式,分别是保护模式、实地址模式、体统管理模式、以及保护模式子集的伪模式,我们着重介绍常见的保护模式

     保护模式里,有四个称为环( ring )的特权级。一般用 0 至 3 表示它们,数越小表示特权级越高。环 O 一般是操作系统使用,而应用程序一般运行在环 3 ,这将通过中止恶意程序运行来防止它们修改操作系统的数据结构和对象,也限制应用程序可以运行的指令。在 IA32 里,在三个地方可以找到特权级: CS 寄存器的低 2 位 ― CPL ( Current Privilege Lcvel ,当前特权级),段描述符的低 2 位 ― DPL ( Descriptor Privilege Levcl ,描述符特权级),段选择子的低 2 位 ― RPL ( Requestor ' 5 Privilege Level ,请求特权级)。 CPL 是当前正在执行代码的特权级, DPL 是给定描述符的特权级,而 RPL 则显然是创建段的代码的特权级。

      保护模式下有三个不同的内存模型:平坦、分段及实地址。实地址模式常用干启动时且保持向后兼容,不过,你很有可能从来不会(或很少)碰到它,模型和它名字表述含义差不多:它是平坦的! 因此,本章不准备讨论它。平坦内存这意味着系统内存看起来像一片连续的地址空间.通常是地址 0 - 4294967296 。这里的地址空间被称为线性地址空间任何单独地或应用程序中的表现形式。在这两种情形下,数据仍是以线性的方式保存,但数据的视图改变了。对分段内存来说,不是以线性地址访问内存,而是使用了逻辑地址(也称为 far 指针)。逻辑地址是基址保存在段选择子里加上偏移 t 的结合。两者(基址及偏移最)相加后对应段里的一个地址,然后映射到线性地址空间里。这样可以保证高度分离由处理器强制执行,确保一个进程不会跑到另一个进程的地址空间里(不过,在平坦内存模型里,由操作系统做同样的事情)。因此,基址加上偏移等于处理器地址空间里的线性地址。此外,除了每个应用程序被给定它自己的段集及段描述符外,多段模型也可以用于使用单一分段模型的地方。不过目前我想不起来还有哪个操作系统在使用它,因此,进一步讨论它怎样工作也没什么意义。

       现代操作系统能使用的地址空间往往比物理内存更大一些,而寻址的数据井不一定保存在物理内存里。这是如何做到的呢?答案是分页和虚拟内存 ,只有当前必需的数据才需要随时保存在物理内存里。它把需要的数据保存在物理内存里,把暂时用不上的数据保存到硬盘上。把数据从磁盘读入内存的过程,或向磁盘写数据,被称为交换数据,这就不难理解 Windows 为什么会有交换文件,而 Linux 有交换分区。当不启用分页时,线性地址(不管它是否由 far 指针组成)与物理地址一一对应,它和使用的地址空间之间没有转换。然而.当启用分页时,应用程序使用的所有指针都是虚拟地址。(这就是为什么在保护模型里平坦内存模型中的两个应用程序使用分页访问完全一样的地址却不会彼此破坏。)这些虚拟地址与物理内存地址间不存在一一对应的关系。使用分页技术时.处理器把物理内存分成 4KB 、 2MB 或 4MB 大小的页。地址转换成线性地址时,将通过分页机制查找它,如果这个地址不在当前的物理内存里,将抛出page-fault(页面故障)异常,操作系统收到此异常后,将把指定的页面加载到内存里,然后接着执行刚才导致此异常的指令。把虚拟地址转换成物理地址的过程依赖使用的页面大小,但基本概念是一样的。线性地址分成 2 个或 3 个部分。首先用 PDBR ( Page Directory Base Register ,页面目录基址寄存器)或 CR3 ( control Rcgister 3 .控制寄存器 3 )查找 Page Directory(页面目录)&#

最低0.47元/天 解锁文章
浩世轩宇
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向工程初探之汇编指令
m0_46746801的博客
08-09 175
逆向工程初探之汇编指令 汇编指令 英文原版(Intel指令手册) 中文 MOV Move data between general-purpose registers; move data between memory and generalpurpose or segment registers; move immediates to general-purpose registers 在通用寄存器之间移动数据;在存储器和通用寄存器或段寄存器之间移动数据;直接移动到通用寄存器(赋值)
逆向工程入门学习(FreeBuf)
热门推荐
一个冠军黑猿的自觉
01-21 2万+
逆向工程 (一):汇编逆向工程基础篇 VillanCh2015-11-24共883215人围观 ,发现 43 个不明物体周边系统安全 本文原创作者:VillanCh 本系列文章将讲解逆向工程的各种知识,难度由浅入深。  汇编逆向工程基础,这篇文章讲解并不深入但是覆盖了你刚开始学习汇编需要了解的所有基础知识!汇编语言是一切程序的起点和终点,毕竟所有的高
逆向工程(一):汇编逆向工程基础
安全汪
11-24 2142
文章转自Freebuf,作者VillanCh,很精彩,担心下次再找,暂时保留下来以备学习查阅。如果你也喜欢,请联系作者转载! ============================================ 逆向工程(一):汇编逆向工程基础篇 VillanCh2015-11-24共19147人围观,发现9个不明物体周边系统安全 本文原创作者:V
第2章 汇编逆向工程基础
记事本
12-04 1306
第2章 汇编逆向工程基础 2.1 导言 本章,我们将介绍一些基础性的内容,包括汇编语言、Intel架构的处理器,以及进一步学习时需要掌握的概念。本书着眼于32位Intel架构(IA-32)的汇编语言,涉及Windows及Linux两种操作系统。我们假设读者至少了解一些IA-32汇编语言(尽管本章在一定程度上覆盖了架构及指令集)的知识,并能熟练使用C/C++。本章为入门者提供了开展工作
逆向工程】(一)x86 汇编
Chenyang的博客
04-24 1391
本指南介绍了 32 位 x86 汇编语言编程的基础知识,涵盖了可用指令汇编指令的一小部分但很有用的子集。有几种不同的汇编语言用于生成 x86 机器代码。我们将在 CS216 中使用的是 Microsoft 宏汇编器 (MASM) 汇编器。 MASM 使用标准 Intel 语法编写 x86 汇编代码。
逆向汇编语言
菜鸟-传奇
04-26 1780
逆向汇编语言   首先介绍计算机程序在计算机中的处理过程。  现代计算机存储和处理的信息以二值信号表示,也就是二进制序列,程序对于计算机而言就是一串二进制数据流,以流水线的方式进入CPU进行运算。主要在CPU与内存之间进行数据传递。但程序员写出来的程序是以高级语言的形式展现的,计算机不是人脑,看不懂高级语言的语法,只能识别二进制序列,所以计算机需要将高级语言翻译成二进制序列进行解读和执行。然而...
ARM汇编逆向iOS 实战
09-03
【ARM汇编逆向iOS 实战】这篇文章主要介绍了如何利用ARM汇编进行iOS逆向工程的实战技巧。ARM汇编是iOS设备上处理器架构ARM的编程语言,掌握它对于理解和调试iOS应用程序至关重要。 首先,文章介绍了ARM汇编基础...
re-for-beginners 逆向工程入门指南
04-29
"re-for-beginners"是一个专为初学者设计的逆向工程入门指南,它旨在帮助新手理解这一复杂的主题并开始他们的逆向工程之旅。 逆向工程基础知识包括以下几个方面: 1. **基础知识**:首先,你需要熟悉计算机体系...
2.逆向与反汇编工具.rar
10-25
第一部分IDA简介 1.反汇编简介-----------第1课 A.反汇编理论 B.为何反汇编 C.如何反汇编 2.逆向与反汇编工具---------第2课 ... G.C++逆向工程基础 4.交叉引用与绘图功能 A.交叉引用 B.IDA绘图 其他内容正在规划
iOS逆向工程之Hopper中的ARM指令详解
09-01
了解ARM指令集是深入研究iOS逆向工程基础。 Hopper不仅能够显示反编译后的ARM指令,还提供了诸如生成逻辑图、伪代码等功能,帮助用户更好地理解和解析汇编代码。例如,通过逻辑图,我们可以清晰地看到程序的流程...
汇编语言基础快速入门资料
02-25
因为偏向底层,直接与计算机硬件打交道,你能了解到计算机原理及编译原理的相关知识,在破解软件、游戏外挂、计算机病毒、加密、脱壳、逆向工程等方面汇编语言也能发挥它极强的作用。所以下面简单介绍与学习一下这门...
逆向基础汇编(一)
我即是菜
04-09 600
目录 1.前言 2.进制 2.1 进制的简写 3.数据宽度 4.源码、反码和补码 4.1 有符号与无符号 4.1.1 无符号 4.1.2 有符号 4.2 编码规则 4.2.1 原码 4.2.2 反码 4.2.3 补码 5 位运算 5.1 与运算 5.2 或运算 5.3 异或运算 ​ 5.4 非运...
逆向——汇编
wk19951125的博客
03-31 1135
逆向——C语言(一)C语言(一) C语言(一)
逆向工程基础
一个普普通通的博客
04-19 7630
逆向工程基础
逆向学习速览-汇编基础
阿权的博客
10-14 972
根据窗口句柄及基地址获取某一地址的值 #include<stdio.h> #include<Windows.h> int main() { // 根据窗口名获取进程句柄 HWND hWnd = FindWindowA(NULL, "扫雷"); //存放窗口进程id DWORD dwPid = -1; //存放读取的值 int tmp; //根据句柄获取进程id GetWindowThreadProcessId(hWnd, &dwPid); //根据进程i.
学习汇编,反汇编,破解,逆向工程原来这么简单?
cpongo5
06-13 972
很多人在学习汇编,反汇编,破解,逆向工程中摸不着头脑。随近期开始,陆续做一些教程。如果时间允许可以做完的话。大家看后可以达到如下能力:http://alantop.5166.info/asm_tutorial/asm_tutorial.html1. 彻底搞明白汇编语言2. 可以独立进行逆向工程我会尽量通过有声视频从简单到复杂的把教程放上去。另外,有朋友问的多的问题我也会放上去。注重内容,所...
逆向汇编
小张同学的博客
03-29 407
参考: 阮一峰 汇编语言入门 (寄存器,内存模型,CPU指令) 逆向工程核心原理 第4章 IA32寄存器 基本程序运行寄存器:4类寄存器 通用寄存器,8个,32位 段寄存器,6个,16位。内存保护技术,划分内存 程序状态与控制寄存器EFLAGS,1个,32位 ZF(Zero flag,零标志):若运算结果为0,则其值为1(true),否则为0 OF(overflow flag,溢出标志):有符号整数溢出/最高有效为MSB改变时为1 CF(carry flag,进位标志):无符号整数溢出为1
汇编学习基础知识【记录】
最新发布
weixin_53070140的博客
07-08 1014
学习汇编

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值