神秘的call $+5 pop eax

最新推荐文章于 2021-07-07 17:28:52 发布
最新推荐文章于 2021-07-07 17:28:52 发布
阅读量6.7k 收藏 5
点赞数 3
分类专栏: 计算机安全 汇编 C++ Win32 恶意软件分析 计算机安全技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/magictong/article/details/7610482
版权

       在进行病毒分析时,或者调试漏洞的shellcode时,经常看到标题中的指令流(E800000000 58,第二条肯定是pop指令,但是目的寄存器不一定是eax),这是干什么的呢?

       看起来貌似很神秘,其实结合前后代码的意图可以知道(进行实时调试),最终eax中存放的数据是0x00413935(就上面的代码),而这个0x00413935,恰好就是pop eax指令的地址,因此实际上这条指令流的作用就是获取执行call $+5时,eip的值,也可以简单认为是获取当前指令地址,获取当前指令地址有什么用呢?我所见过最多是使用场景是通过得到当前指令地址来获取硬编码到shellcode中的字符串的地址,通过简单计算当前指令地址+偏移(这个已知,因为shellcode就是自己写的),就可以获取到字符串的地址。

       这条指令流的原理也很简单,E8是call指令中的相对跳转指令(可以参考:http://www.mouseos.com/assembly/example/calling.html),它可以带一个dword参数,指明相对跳转的距离(E8 dword offset),计算方式很简单:下一条指令地址+ offset 即是call指令的目的地。下一条指令地址就是pop eax的地址啦。因此这个地方场景是这样滴:

       1、CPU执行到E800000000时,eip中此时存放的是下一条指令的地址,也就是0x00413935(计算机组成原理);

       2、CPU执行call指令,将call指令的下一条指令地址push到栈中(也就是0x00413935被push到栈中,这是用于函数调用后返回的);

       3、对E8指令进行解析,offset == 0,计算call指令目的跳转地址:下一条指令地址+ offset ,eip被存入0x00413935;

       4、跳转到0x00413935执行(实际就是call的下一条指令),执行pop eax,从上面的分析可知,此时栈顶的值是0x00413935,因此eax就被赋值0x00413935。

 

       有人可能想,获取当前指令地址,直接mov eax, eip不就行了么?还真不行,因为木有直接操作eip的指令的。

magictong
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
call $+5是什么操作??
qq_41957544的博客
04-27 2273
首先需要知道$在汇编语言中代表的含义: $是intel汇编格式中的一个预定义符号,表示当前指令所在的地址偏移 所以可知"call $+5"操作的含义就是: 假设call $+5指令的地址为A,那此指令可以翻译为call A+5 而call指令一般为5个字节,所以此指令完成的操作即为: 将下一条指令的地址push到栈中,然后跳转到下一条指令。 在分析壳的时候,发现了一个组合操作,即: call $+...
汇编—汇编指令
怪味巧克力的博客
04-28 512
1.汇编指令 复合指令: lea esp,[esp-4] mov [esp],eax 使用 vc6 调试观察内存的变化: 这两条指令的组合就是我们学的新指令:push eax。 mov eax,[esp] lea esp,[esp+4]就是指令 pop eax。 在 80x86CPU 中,eip 寄存器指向的是将要执行代码的位置, 代码本身也是数据,也是由二进制构成。 Intel 指令的长度不同,...
微软x64常用汇编指令总结
小手琴师的博客
07-07 6318
这里写目录标题lea 直接读取有效地址值ret 函数返回xor 异或add 加法sub 减法inc 自增(increase)jmpcmpjneje lea 直接读取有效地址值 lea eax ,[1001H] lea作用是把 中括号里的值存入 寄存器里 把[1001H]里面的地址赋值给eax,也就是把1001H赋值给eax,执行之后的结果,是 eax = 1001H 等价于 mov eax , 1001H 通常做给c++指针赋值的时候使用这个指令,例如: int a = 3; // mov d
微信3.4.5.27-10个信息CALL.txt
12-27
5DB4517A E8 711B4300 call WeChatWi.5DF76CF0 ; 二维码HOOK地址 5DB4517F 5E pop esi 5DB45180 5D pop ebp 5DB45181 C2 0400 retn 0x4 -------------------------------------------------------------- 2.微信...
入门详细分析反汇编CALL
06-30
### 反汇编CALL指令详解 #### 一、引言 在计算机编程领域,特别是针对低级别编程语言如汇编语言的学习与应用过程中,反汇编技术占据着重要的位置。对于初学者而言,掌握基本的反汇编指令及其工作原理至关重要。...
QQ斗地主喊话call1
08-08
【QQ斗地主喊话call1】的知识点主要涉及到计算机程序中的函数调用、内存管理和汇编语言指令。在这个场景中,我们看到的是一个游戏(QQ斗地主)中的特定功能,即玩家发送聊天信息(喊话)的过程。以下是相关的知识点...
第5章-模块化程序设计.doc
最新发布
04-22
2. **例 5-1 程序中的 ret 指令,如果用 pop ebp 和 jmp ebp 指令替换,则 ebp 内容是( )。** - 答案:0000000 分 - 解析:在这种情况下,`ebp`寄存器的内容通常是返回地址,但题目未给出具体背景,这里给出的...
获取模块.dll文件 基址+偏移的 助手6.0
08-10
获取模块.dll文件 基址+偏移的 助手6.0 例如:CE或者MD[+0053618]=“00653618”
【汇编】CPU 指令
ranmaxli的博客
03-22 2879
七、CPU 指令 7.1 一个实例 了解寄存器和内存模型以后,就可以来看汇编语言到底是什么了。下面是一个简单的程序example.c。 int add_a_and_b(int a, int b) { return a + b; } int main() { return add_a_and_b(2, 3); } gcc 将这个程序转成汇编语...
EAX、ECX、EDX、EBX寄存器的作用
热门推荐
tiger_ibm的专栏
04-02 1万+
一般寄存器:AX、BX、CX、DX AX:累积暂存器,BX:基底暂存器,CX:计数暂存器,DX:资料暂存器 索引暂存器:SI、DI SI:来源索引暂存器,DI:目的索引暂存器 堆叠、基底暂存器:SP、BP SP:堆叠指标暂存器,BP:基底指标暂存器 EAX、ECX、EDX、EBX:為ax,bx,cx,dx的延伸,各為32位元 ESI、EDI、ESP、EBP:為si,di,
【汇编语言】通用数据处理指令——堆栈传送指令
PKM of bk
06-28 3327
通用数据处理指令——堆栈传送指令 一、堆栈概述 (1)堆栈定义 (2)IA-32处理器的堆栈段 (3)堆栈的作用 二、PUSH和POP指令 (1)进栈指令PUSH (2)出栈指令POP
为什么POP/POP/RET是必需的
312小公举的专栏
04-18 6003
POP/POP/RET是创建SEH漏洞必需的指令序列。 要理解P/P/R是如何工作的,就要先了解各个寄存器的作用: 在x86处理器中,EIP(Instruction Pointer)是指令寄存器,指向处理器下条等待执行的指令地址(代码段内的偏移量),每次执行完相应汇编指令EIP值就会增加。ESP(Stack Pointer)是堆栈指针寄存器,存放执行函数对应栈帧的栈顶地址(也是系统栈的顶部),
计算机系统-运行时堆栈/栈顶
文天大人
07-02 1919
怀念二抱三抱
linux汇编push,在x86汇编中寄存器上使用的push / pop指令的功能是什么?
weixin_26786277的博客
05-17 1960
在阅读有关汇编程序的文章时,我经常遇到人们在写文件时他们推送处理器的某个寄存器并稍后再次弹出它以恢复它之前的状态。怎么能推一个寄存器? 它在哪里推? 为什么需要这个?这可归结为单处理器指令还是更复杂?警告:所有当前答案都以Intels汇编语法给出; 例如,AT&T语法中的push-pop使用像b,w,l或q这样的后置修复来表示被操作的内存的大小。 例如:pushl %eaxpopl %eax@h...
一种动态call地址查找及使用方法 -- QQ游戏斗地主角色版-喊话call定位技巧
12-30 825
前几天有网友问我,在游戏找call的时候遇到了动态地址的call,无法下手了, 什么情况呢?就是每次启动游戏,call的地址都会变化。。。。。。。。。。 这样,这个call就没发使用了,注意原因就是 基址重定位 的问题,想深入了解的同学,请自行百度”PE结构“去吧! 这里,我那QQ斗地主...
int main(){ __asm { call label; label: pop eax; add eax, 0x15 ;越过decoder记录shellcode起始地址 xor ecx, ecx decode_loop: mov bl, [eax + ecx] xor bl, 0x44 ;用0x44作为key mov [eax + ecx], bl inc ecx cmp bl, 0x90 ;0x90作为结束符 jne decode_loop } return 0; }
06-09
这是一段使用汇编语言嵌入到C语言中的代码,其中使用了汇编语言的指令,来实现对一段shellcode的解密操作。具体来说,这段代码会先跳转到一个标签(label)处,然后将这个标签的地址存入eax寄存器中。接着,代码会通过pop指令将这个地址出栈,存入eax中。然后,代码会将0x15加到eax寄存器中,以越过decoder记录shellcode起始地址。之后,代码会使用异或运算对shellcode进行解密,并将解密后的结果存回到原来的内存地址中。最后,代码会返回0,表示程序正常结束。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值