恶意代码分析-第四章-X86反汇编

最新推荐文章于 2018-09-13 16:04:26 发布
最新推荐文章于 2018-09-13 16:04:26 发布
阅读量216 收藏 1
点赞数
分类专栏: 恶意代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37809075/article/details/81454036
版权

简单指令

网络中用大端字节序

X86中用小端字节序

sub 指令会修改:ZF:结果为0

CF:目标操作数比减去的值小 CF置位

乘法指令mul:mul value - - -eax乘value 结果以64位形式分别存储在EDX(高)和EAX(低)

除法指令div :div value - - - EDX和EAX和起来除以value 结果商存储在EAX,余数存储在EDX

目的操作数左右移shr shl:shr 1000 2 - - - 结果0100(0填充新位,CF中包含最后移出操作数的那位)(移位通常是对乘法的优化【左移2位=* 4】)

循环移位ror rol:移出那一位会被填到另一端出来的位上(ror低位循环到高位)

移位通常是对乘法的优化

用ESP和EBP来支持栈操作 ESP栈顶指针,EBP栈基址

相关指令:push pop call leave enter ret

pusha 和 pushad 编译器很少使用,通常是手工写的

pop eax == mov eax,ss:[esp]

比较条件指令

ZF标志位 test eax,eax 是否是空值

cmp a,b a = b (ZF=1,CF=0)

a < b (ZF=0,CF=1)

a > b (ZF=0CF=0)

重复指令

每昔
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习笔记-第四章 恶意代码分析实战
Yes_butter的博客
03-04 628
第四章 x86反汇编学习 一。计算机系统被描述为以下六个抽象层次。 1.硬件。 硬件层是唯一的一个物理层,由电子电路组成。这些电路实现了xor,and,or,not门等逻辑运算器的 复杂组合,成为数字逻辑。由于物理特性,硬件很难被软件所操纵。 2.微指令。 微指令又成为固件。微指令只能在为它设计的特定电路上执行。这层由一些微指令构成,它们 从更高的机器码层翻译过来,提供了访问硬件的接口...
恶意代码防范实验-Lab04.exe分析
Lauhoman的博客
06-05 1964
实验目的分析含有恶意代码的程序Lab04.exe。使用软件 PEiD Ollydbg process monitor 7-Zip WinHex 使用所给文件完成以下问题 这些文件何时编译的? 这两个文件是否有迹象被加壳或混淆?证据何在? 是否有导入函数?功能? 是否有任何其他文件或基于主机的迹象,让你可以再受感染系统上查找? 是否有关于网络的恶意代码感染迹象? 1、当你运行该文件时,会发生何种现象?
恶意代码分析-第十五章-对抗反汇编
每昔的博客
09-07 1131
目录 笔记 实验 Lab15-1 Lab15-2 Lab15-3 笔记 反汇编技术:分为线性反汇编器和面向代码流的反汇编器,对于同一段字节集合。有时候反汇编出来的代码并不相同。                      对抗反汇编技术是基于反汇编算法的天生漏洞而产生的 线性反汇编:用已经反汇编的指令大小来决定下一个要反汇编的字节,而不考虑代码流的控制指令。           ...
代码混淆/程序保护(对抗反汇编)原理与实践
热门推荐
pianogirl123的博客
12-25 1万+
所谓对抗反汇编技术,就是在程序中使用特殊构造的代码或数据,让反汇编工具产生不正确的指令。恶意代码使用该技术,可以一定程度上阻碍相似性检测算法和启发式反病毒检测。一、反汇编算法的局限性反汇编软件在拿到一堆机器码时,采用什么样的思维和算法来“断词断句”,又基于哪些假设,都会决定最终的解析结果。运用不同的反汇编器,同样的字节码会被“翻译”出完全不同的指令序列。而对抗反汇编技术就是利用了反汇编器算法的天生漏
- OD反汇编工具
06-14
4. 插件支持:OD拥有丰富的第三方插件库,可以扩展其功能,例如增强反汇编显示、自动化分析、内存搜索等,极大地提升了工具的灵活性和实用性。 5. 用户友好:OD的界面设计直观,即使是对逆向工程不太熟悉的用户也能...
反汇编引擎udis86
03-28
1. **逆向工程**:在分析恶意软件或未知二进制时,通过反汇编可以揭示其内部行为。 2. **动态分析**:在调试过程中,实时反汇编内存中的代码有助于理解程序的执行流程。 3. **性能优化**:对汇编代码的分析可以...
汇编语言第四版.zip
最新发布
04-20
- **反病毒与安全研究**:理解和编写汇编代码有助于分析恶意软件行为、逆向工程及编写防病毒软件。 - **教学与理解计算机原理**:学习汇编语言有助于深入理解计算机体系结构、指令集、内存管理和硬件接口等基础概念...
汇编语言笔记 参考《汇编语言 第三版》王爽.zip
04-20
- **反病毒与安全研究**:理解和编写汇编代码有助于分析恶意软件行为、逆向工程及编写防病毒软件。 - **教学与理解计算机原理**:学习汇编语言有助于深入理解计算机体系结构、指令集、内存管理和硬件接口等基础概念...
恶意代码分析-第七章-分析恶意Windows程序
每昔的博客
08-01 3671
目录 笔记: 实验: Lab 7-1 Lab 7-2 Lab 7-3 笔记: Windows API:管理恶意代码与微软程序库之间的交互方式 常用API类型: 类型 前缀 描述 WORD w 一个16位的无符号数值 DWORD ...
恶意代码分析-第十一章-恶意代码行为
每昔的博客
08-10 3105
目录   笔记 实验 Lab11-1 Lab11-2 Lab11-3 笔记 下载器:从网上下载代码,在本地运行,通常会用到URLDownLoadtoFileA和WinExec进行下载和运行恶意代码 启动器:一类可执行文件,用来安装运行的 后门:让攻击者通过远程访问来控制计算机的恶意代码,常用的方法是借助80端口的HTTP协议进行通信。 反向shell:从感染机器上发起一个连接...
恶意代码分析-第十四章-恶意代码的网络特征
每昔的博客
09-05 3091
目录 笔记 实验 Lab14-1 Lab14-2 Lab14-3 笔记 基于IP地址和域名信息: DomainTools(http://www.domaintools.com)--&gt;whois历史记录的查询,能够进行反向IP查询。 RobTex(http://www.robtex.com)--&gt;单个IP地址指向的多个域名信息 BFK DNS logger(http:...
恶意代码分析-第十八章-加壳与脱壳
每昔的博客
09-10 2445
目录 笔记: 实验: Lab18-1 Lab18-2 Lab18-3 笔记: 壳的功能:缩减程序的大小,阻碍对加壳程序的探测和分析 解析函数导入表:1.仅导入LoadLibrary和GetProcessAddress两个函数。先脱出原始文件,再读取原始可执行文件的导入函数信息。                               2.保持原始导入函数表的完整,让Windo...
恶意代码分析-第十九章-shellcode分析
每昔的博客
09-13 1916
笔记 shellcode:一个可执行代码的有效载荷,包含可执行代码 加载shellcode分析:在IDApro中分析时,选择处理器类型Interl 80x86 processers,并选择32-bit disassembly 使用位置无关代码: 第一条和第二条指令都是通过将EIP寄存器指定的当前位置加上一个保存在指令中的相对偏移值来计算。所以是位置无关代码 第三条指令是一个访问全局数...
恶意代码分析-第十二章-隐蔽的恶意代码启动
每昔的博客
09-01 1415
目录 笔记 实验 Lab12-1 Lab12-2 Lab12-3 Lab12-4 笔记 启动器:安装一些东西达到恶意行为对用户隐藏,设置自身或恶意代码启动。例如通过资源段隐藏恶意代码。 相关API函数:FindResource,LoadResource以及SizeofResource。 进程注入:将恶意代码注入到另一个正在运行的进程中,也用于绕过主机的防火墙和那些针对进程的安全...
恶意代码分析-第十七章-反虚拟机技术
每昔的博客
09-10 1203
目录 笔记 实验 Lab17-1 Lab17-2 Lab17-3 笔记 VMware痕迹:VMware虚拟环境在系统中遗留了很多的痕迹,特别是VMware Tools安装之后。可以通过操作系统的文件系统,注册表和进程列表中的标记痕迹探测VMware的存在。                        识别进程:VMwareService.exe  VMwareTray.exe V...
恶意代码分析-第三章-动态基础分析
每昔的博客
07-27 1175
运行恶意代码        使用沙箱:用作初始诊断:自动执行与分析  缺点              只能简单执行,无法输入控制指令。              不能记录所有事件,只报告基本功能。              沙箱环境与真实计算机环境的差异导致一些功能无法触发或表现有所不同。        运行代码(.dll):               rundll32.exe程序 ...
恶意代码分析-第九章-OllyDbg
每昔的博客
08-06 1144
目录   笔记 实验 Lab 9-1 Lab 9-2 Lab 9-3 笔记 加载文件: 执行代码: Execute till Return -&gt; 在当前函数返回时暂停执行 -&gt; CTRL-F9 Execute til User Code -&gt;从库函数中出来回到user code -&gt; ALT-F9 单步跳过陷阱:               0...
Intel x86-64 汇编指令集详解
"Intel x86-64汇编指令集是Intel公司为64位架构设计的一种指令集,广泛应用于现代个人计算机、服务器和嵌入式系统中。它扩展了传统的x86(IA-32)架构,提供了更多的寄存器、更大的地址空间和更多优化的指令,以提升...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值