逆向工程
文章平均质量分 60
Kiopler
这个作者很懒,什么都没留下…
展开
-
逆向时如何找到MingGW(GNU)编译程序的main函数
为了探究里面究竟怎么回事, 我找到了wrk-v1.2的源码, 其中包含了ZwContinue的实现, 首先先看一下注释, API界面包含了2个参数, 其中让人感兴趣的是PCONTEXT, 这是一个线程上下文环境, 其中包含了线程的执行环境, 也许main函数主线程就是位于这个上下文环境中。方便让线程继续运行。编译器是MingGW生成的可执行文件的显著特点是, 最终运行ZwContinue后程序就莫名其妙启动了, 也找不到main函数。先忘了原本的目的, 既然都来了, 看一下这个API的实现。原创 2023-08-04 18:09:44 · 1034 阅读 · 0 评论 -
NsPack3.x脱壳手记
完成后就可以Fix dump了, 这样就完成了对IAT表的修复, 注意这里Fix Dump后会要你选择一个exe文件, 你要选择之前通过LordPE转储下来的exe, 因为Scylla是修复转储, 那肯定是在dump文件的基础上。发现了IAT表中有0存在, 了解过PE结构的可能会知道一般IAT表中0代表结束, 也就是说NsPack3.x把IAT表给中断了, 下面进行修复。将IAT表的大小设置成一个非常大的值, 这样就会搜索很大范围内的IAT内容而忽略了IAT表中存在0造成截断的影响。接着把无效的部分删除。原创 2023-08-04 16:32:00 · 429 阅读 · 0 评论 -
本地内核调试LKD
前言 内核调试默认是关闭的,需要手动开启。本文将简单介绍如何在 Vista 及后续版本的系统中开启本地内核调试,并简要介绍使用 windbg 连接内核的方法。在 xp 系统中,对应的设置保存在 boot.ini 中,感兴趣的小伙伴儿请自行搜索设置方法。 本地内核调试 windbg 不仅可以作为用户态调试器使用,还可以作为内核调试器使用。相较于命令行版本的 kd....转载 2021-10-24 11:57:41 · 725 阅读 · 0 评论 -
windbg符号表
0x00 前言在使用windbg调试windows中的程序时会经常碰到一些系统的dll里面的一些函数调用,有些函数是没有具体函数名的,这对于调试非常不利,基于此,微软针对windows也发布了很多系统dll对应的符号表,这些符号表如今基本集成在了微软的符号表服务器中,本文简单讲一下如何在windbg中加载符号表。0x01 配置符号表首先给一个最常用的方式,要做的工作基本就是先在本地指定的文件目录搜索对应的符号表,如果找不到就连接远程服务器下载,并保存在本地,方便下次使用,如下.sympa转载 2021-10-19 15:08:19 · 2575 阅读 · 0 评论 -
恶意软件分析实战23-64位软件逆向Lab21-2
这里尝试分析逆向的这个软件本身是X86的,但是按照题目的描述,其内部带有X64的模块,不管如何首先拖入VT内让它经受一轮杀毒引擎的洗礼, 结果很炫酷, 54个引擎报毒资源节内包含3个二进制文件,体量很大:查看一下导入函数:注入行为可能是注入了explorer.exe进程,因为这个进程经常是被注入的目标用Resource Hacker打开这个软件,把3个儿子提取出来:我是按照Resource hacker里面的名字来决定后缀的,但是,具体是什么后缀还需要进一步...原创 2021-10-04 13:25:01 · 456 阅读 · 0 评论 -
恶意软件分析实战22-内核级软件逆向Lab20-2
将其拖入VT内:查看一下其导入的函数, 其中最有特点的是如下:初步估摸是遍历文件然后上传到ftp服务器,是一个窃取文件的软件。其ftp服务器域名进入后就发现实文件遍历的API:如果是目录则进行拼搭成C:\\....\\xxx\\*的格式然后进行递归调用如果是文件就将其拼搭成完整的绝对路径对比文件的后缀是否为.doc类型, 如果是则实例化一个类对象如果是pdf类型或者doc类型则调用类内的一个虚函数来看...原创 2021-10-03 13:59:08 · 254 阅读 · 0 评论 -
恶意软件分析实战21-内核级软件逆向Lab10-3
这个实验包含一个exe和一个sys。首先直接运行exe看看有什么效果:实验发现每隔一段时间会有一个指向http://practicalmalwareanalysis.com的IE浏览器打开。在任务管理器上无法找到打开的进程。不确定是进程结束了还是被隐藏起来了。看看注册表的对比情况, 发现加载了一个服务。驱动被加载了, 现在直接删除这个注册表项用Winobj查找一下这类似于这个Process Helper的符号名, 找到了这个,很可疑直接删除服务相关的注册表项后重...原创 2021-10-02 13:33:27 · 333 阅读 · 0 评论 -
恶意软件分析实战20-内核级软件逆向Lab10-2
首先二话不说先拖入VT内检查看看, 发现39个杀毒引擎报毒。发现了资源节里有东西:可以看到是一个可执行文件在内部:把它命名为a.exe:把a.exe拖入PE Explorer内查看一下, 发现是一个驱动文件它从内核中导入了如下几个函数:现在反过来看看母体可执行文件:没有使用什么特别的API, 感觉主要的功能是在内核中实现的。内核中导入的NtQueryDirectoryFile是以供查询文件和目录的。同时也可用于隐藏。继续看...原创 2021-10-02 12:17:07 · 382 阅读 · 0 评论 -
恶意软件分析实战19-shellcode调试逆向Lab19-2
把样本拖入VT内分析:可以看到爆红,查看一下细节, 发现了IE浏览器进程被创建了。查看一下导入函数,发现导入了提权相关API。还有远线程注入以及进程创建相关的API现在把程序拖入IDA中,一上来就获取了debug权限,后来就获取了IE的路径其打开了注册表的HKEY_LOCAL_MACHINE\\http\\shell\\open\\command项, 即IE的路径,这个命令行执行后会打开IE浏览器接着就以隐藏方式开启了IE浏览器,接着把shel...原创 2021-10-01 17:24:00 · 480 阅读 · 0 评论 -
恶意软件分析实战18-shellcode调试逆向Lab19-1
这个实验主要是分析一段shellcode。这里利用shellcode_launcher来执行这段shellcode。看到是一个bin目录,首先将其拖入Winhex内查看内容:将其拖入IDA内静态反汇编, 发现其内部有一段解密代码,解密代码完成后会跳转到shellcode处为了能够动态调试这段shellcode,使用shellcode_launcher.exe工具。将OD设为实时调试器后以如下指令运行shellcode_launcher.exe我们看到shellcode...原创 2021-10-01 14:30:49 · 733 阅读 · 0 评论 -
恶意软件分析实战17-内核级软件逆向Lab10-1
这是我第一次调试带有内核级代码的软件。之前调试过内核级代码但是都是自己编写的源码级调试。这是我第一次无源码逆向带有驱动的软件。这个软件非常简单,我主要是为了学习如何调试内核级代码, 其包含了2个文件,一个是exe可执行文件还有一个是sys驱动文件。查看下驱动文件的PE头查看下其各节的节表, 发现其有资源节。查看下对应的资源信息, 主要是版本信息:查看它的导入信息,发现是从ntoskrnl.exe内部导入的三个内核函数。主要是注册表信息操作首先把exe拖入...原创 2021-09-30 15:31:05 · 409 阅读 · 0 评论 -
恶意软件分析实战16-逆向Lab7-3
该实验包含2个文件, 一个是Lab07-03.exe, 另一个是Lab07-03.dll双双没加壳:先把exe文件拖入VT内:发现如下, 大体猜测一下是搜索某个文件然后将找到后拷贝之类的操作。查看一下dll文件的情况:来看看具体的首先进去后对比命令行参数是否为2个,不是则退出。对比参数是否为"WARNING_THIS_WILL_DESTROY_YOUR_MACHINE",如果不是则退出。拖入OD,把该字符串作为参数传入由于我们...原创 2021-09-28 17:36:09 · 332 阅读 · 0 评论 -
关于sbb eax, eax以及sbb eax, 0FFFFFFFFh指令连用
首先来看看sbb指令到底是用来干嘛的:sbb是带借位减法指令,它利用了CF位上记录的借位值。指令格式:sbb 操作对象1, 操作对象2功能:操作对象1=操作对象1 - 操作对象2 - CF比如指令sbb ax,bx实现的功能是: (ax)=(ax)-(bx)-CFsbb指令执行后,将对CF进行设置。其与sub指令唯一差距是多了再减去CF的值这步。也就是说只有寄存器最高位产生了借位或者进位时(这将导致CF置1)才会导致其与sub指令不同。来看一段例子, 这里执行的是cmp dl原创 2021-09-28 16:16:39 · 1631 阅读 · 0 评论 -
恶意软件分析实战15-UPack脱壳Lab18-5
拖入PIED分析, 发现加了UPack壳拖入OD内显示如下,不停的单步往下跳如果遇到这种大跳转则直接F4到下面直到碰到这个地方, 这里红色的箭头都是在一个范围内跳转,唯一跳出这个范围的箭头是白色的。在白色箭头指向的地方下断点后运行。果然发现跳转到了这个位置,之后观察这个je, 其会跳转到ret,可以感觉到这个retn是跳往OEP的但是可以发现跳转没有实现在这个大循环的过程中,在eax内看到很多API。很显然这是在构建导入表果断在retn处...原创 2021-09-27 19:25:38 · 330 阅读 · 0 评论 -
OD代码窗口全是数据该如何解决
不知道有没有人和我一样会碰到这种情况:这真的很尴尬,我一开始完全不知道该怎么处理,后来我处理的办法变成了遇到这种情况就使用ODDump直接dump出来然后再继续载入调试。实际上不用这么麻烦, 只要在第一个字节右击然后选Analysis后点Analyse Code即可。(完)...原创 2021-09-26 23:42:27 · 264 阅读 · 0 评论 -
恶意软件分析实战14-反虚拟机Lab17-1
首先通过sidt获取IDTR内容。右移24位获取MSB,将指向中断描述符表的线性地址的最高位与0xFF比较, 如果是0xFF代表位于虚拟机中第二种检测检测虚拟机的方法是通过str指令,这些方法都仅适合单核CPU以及x86体系,目前的系统仅适合作为参考学习, 这里通过对比str指令返回的内容的LSB字节是否为0xFF以及第二低字节是否为0x40来判定是否处于虚拟机中,如果两个都是则代表处在虚拟机状态, 只要有一个不是就代表在物理机。这个程序最后一个使用的方法是sldt方式,他通过检测LDT..原创 2021-09-25 10:31:53 · 263 阅读 · 0 评论 -
恶意软件分析实战13-对抗反调试Lab16-x
这个程序在之前就逆向过了,这里主要学习它使用的3种反调试技巧。技巧1: PEB中的BeingDebugged位,如果当前进程正在被调试,该位会被置1。首先用OD调试,寻找到该进程的PEB位置:查看一下PEB的内容, 发现其中Beingdebugged位不是1,这是由于Ollydbg内部插件导致的。可以换用windbg来调试查看BeingDebugged的位置, 看见了吧这里就显示为1了表示正在被调试。技巧2: PEB中的ProcessHeap字段判断该字...原创 2021-09-23 21:50:01 · 265 阅读 · 0 评论 -
恶意软件分析实战12-对抗反汇编Lab015-03.exe
这个练习主要是为了获取对抗反汇编的基础。直接拖入IDA,首先查看到有一些不一样的地方,这里用0x400000 | 0x148c得到0x40148c并把它覆盖了main函数的返回地址,也就是说main函数结束后会跳转到0x40148c执行。如果看不明白,来看看这张图,由于栈帧的建立,ebp会指向栈底位置,也就是指向ebp旧有值的位置。ebp+4也就变成了main函数返回地址了。该程序功能并没有什么值得关注的地方,是一个进程, 线程, 模块枚举工具。主要是其中利用了SEH的技巧并且内部的对抗..原创 2021-09-23 10:23:01 · 208 阅读 · 0 评论 -
恶意软件分析实战11-对抗反汇编Lab015-02.exe
这个程序主要也是恶意代码对抗反汇编技巧。接下来是一个循环,该循环加密了主机名:值得注意的是,这里需要把gethostname改成失败的情况,不然无法进入加密环节这里把主机名加密成了这样, 这将作为User-Agent的名称接下去就遇到了对抗反汇编的地方了。修复后发现其通过GetHostName()获取了一个指向Bamboo.html的URL, 并读取了该页面的内容从读下来的内容中截取了一串字符串, 由于无法连接到该服务器所以无法获取该页面内容继续读取...原创 2021-09-22 19:29:21 · 176 阅读 · 0 评论 -
恶意软件分析实战10-对抗反汇编Lab015-01.exe
这一篇是将关于恶意代码使用技术来对抗分析人员的反汇编器的。一进去就有问题:为了更好的查看,打开机器码选项:显然最call后边的地址是有问题的,这很明显不是地址。已经跑到内核空间去了(高2G)不可能是地址。虽然当前处在代码段,但是代码段内也是可以插入数据的。这个call指令是为了对抗反汇编而故意插入的字节果然这么一看就顺眼了。转成字符串这样结果就出来了。祝我的亲人,兄弟,朋友以及各位读博客的陌生人中秋快乐(完)...原创 2021-09-21 23:58:16 · 159 阅读 · 0 评论 -
恶意软件分析实战09-逆向分析Lab014-03.exe
拖入PEID查看是否加壳, 发现没有加壳:拖入VT:查看具体报告内容, 感觉是从服务器上下载了东西下来。应该是从这个页面:是不是下载了这个autobat.exe?拖入IDA分析, 仔细查看一下发现该程序比较简单, 其总体流程如下:首先进入CreateFileAndReadFileInfo查看, 仔细查看后发现该目的主要作用是读取autobat.exe到内存中。如果该文件不存在则创建并读取。那CreateAutobatPE()这个函数创建的这...原创 2021-09-20 14:41:37 · 212 阅读 · 0 评论 -
汇编语言SBB指令:带借位减法
SBB(带借位减法)指令从目的操作数中减去源操作数和进位标志位的值。下面的示例代码用 32 位操作数实现 64 位减法,EDX:EAX 的值为 0000 0007 0000 0001h,从该值中减去 2。低 32 位先执行减法,并设置进位标志位,然后高 32 位再进行包括进位标志位的减法:(完)...转载 2021-09-20 13:21:15 · 5923 阅读 · 1 评论 -
恶意软件分析实战08-逆向分析Lab014-02.exe
首先进行查壳, 发现没有加壳,用KANAL扫一下暂时没有发现任何加密算法。把它拖到VT上查看一下, 爆红。发现有资源节:用Resource hacker查看一下内容, 发现是一个指向本地服务器的网页。查看下导入表的情况:感觉是一个管道后门基本上可以确定了:拖入IDA内进行分析:接下去分配了一段堆空间后把资源字符串复制到里面。创建了2条管道以隐藏方式,创建cmd进程。并把cmd的标准输出,标准输入和标准错误重定向到管...原创 2021-09-20 12:03:48 · 238 阅读 · 0 评论 -
Ollydbg调试多线程程序
今天碰到了一个多线程的程序。一时间没了主意,后面查找了资料总结一下两种可行的方法, 先poll出一个做例子吧:首先最简单的一种,OD自带的:勾选这两个选项即可。勾选完后调用完这个CreateThread直接按F9运行程序就发现被断在了kernel32.dll模块里,这也很正常,因为CreateThread就是从这个库里导出的,但是我的目的是调试用户代码。然后接着按F9就可以断在用户代码里了, 当然前提是你得在用户代码起始位置下个断点。怎么在线程用户代...原创 2021-09-19 23:46:32 · 1084 阅读 · 0 评论 -
恶意软件分析实战07-逆向分析Lab014-01.exe
拖入PEID查壳, 发现没有壳。用KANAL扫一扫,发现里面可能Base64算法。因为查找到了对应表, 这里先记下:拖入VT内查看, 有问题:查看详细报告里面导入函数信息, 最特殊的莫过于这几个了, 上面那两个主要用于获取系统以及用户信息,下面用于下载。拖入IDA分析, 上来首先调用了GetCurrentHwProfileA来获取当前系统的GUID,并获取其中部分拼搭起来。可以看到其拼搭成这样:接着调用了GetUserNameA获取了当前用户的名称,使用...原创 2021-09-19 22:04:21 · 221 阅读 · 0 评论 -
恶意软件分析实战06-逆向分析Lab011-02.dll
本实验包含2个文件, 一个dll另一个是ini配置文件配置文件下是一串被加密的字符串首先查壳, 发现没有加壳, 使用VC++6.0编写的DLL。拖入VT内查看, 有问题。拖入PE Explorer查看,发现这个DLL导出了一个installer, 明显该DLL是可以被安装单独执行的。并且如下图所示,其导入函数有相当多就更加应证了这点。安装执行该DLL:查看一下注册表情况, 发现AppInit_DLLs已经变成了spoolvxx32.dll。其使用了注册...原创 2021-09-15 13:36:17 · 572 阅读 · 0 评论 -
恶意软件分析实战05-逆向分析Lab011-01.exe
首先查壳, 发现没有加壳。这个程序是用VC++6.0编写。把样本拖入VT内查看, 发现47个杀毒引擎认为其有问题。仔细查看一下报告, 附带有资源节看一下它内部有的函数, 资源节肯定有问题。继续查看VT报告, 发现其是一个名为msgina32.dll。初步考虑是利用了Winlogon服务,对GINA进行劫持。注册表设了GinaDLL键验证了我的猜想。至少非常大的可能。不管如何先用Resource Hacker把这个DLL拿出来再说。首先把恶意软...原创 2021-09-14 23:31:50 · 537 阅读 · 0 评论 -
恶意软件分析实战04-逆向分析Lab09-02.exe
首先还是查一下壳, 发现没有加壳, 使用VC++6.0编写68个杀毒软件, 55个报毒。感觉是有问题的在一个dll中, 数据节内存大小非常大实际数据没那么大,可能是藏着一个文件在里面查看下它的导出函数, 很明显该DLL是以服务形式存在的其中导入了WS2_32.dll,也就是说有网络行为...原创 2021-09-13 19:20:29 · 401 阅读 · 0 评论 -
恶意软件分析实战03-一个后门的逆向分析
1. Lab03-03先查壳发现无壳, VC++6.0编写:VT上走一波, 57个杀毒引擎认定是恶意的。有资源表而且那么大,可能夹了私活:ResHacker查看资源节内容, 的确是带了东西,这玩意感觉也不像是多媒体资源。也有可能是被加密了存进去的或者加壳了。来查询一下导入表:该恶意程序只导入了kernel32.dll,从导入表的导入API来判断, 该恶意进程可能:1. 使用了傀儡进程技术,即挂起创建一个合法的程序但却在内部执行非法的shellcode...原创 2021-07-20 07:35:39 · 754 阅读 · 1 评论 -
恶意软件分析实战02-分析3个恶意程序
1. Lab03-01vt上一搜发现鉴别为恶意软件。拖到PEID内一查,加了一个壳PEncrypt 3.1 Final -> jnukcode。 我好气,脱了我一个多小时没脱下来。想想算了,题目要求也就是分析它的行为。打开Promon检测一下。发现了大量注册表和文件操作:对比下注册表的变化, 发现了该软件有添加自启动行为查询一下内部的字符串, 果然如此:其内部还发现了一个网站。推测这个名为vmx32to64.exe的程序可能从该网站下载下来或者是自身改...原创 2021-07-15 15:26:02 · 1371 阅读 · 3 评论 -
恶意软件分析实战01-分析3个恶意程序
Lab1-2: 分析Lab01-02.exe文件:首先拖入PEID发现该软件加过UPX壳脱壳, 在拖入PEID后, 发现是VC++写的:将其拖到VirusTotal上分析。发现有恶意行为:其导入了如下dll:推测其可能会与网络相关,并且可能会有修改注册表或者注册服务等行为。观察其导入的函数, 主要可以归纳:1. 其创建了线程。并可能创建多个因为有互斥量存在。2. 其创建了系统服务,可能是要以系统服务方式启动。3. 打开了一个url...原创 2021-07-13 01:32:29 · 1508 阅读 · 1 评论 -
汇编代码test与jle的联用
在一次逆向的过程中我碰到了这种情况:让我困惑的是红框 框出来的2句。test和jz联用可以理解,但test和jle联用是什么意思?1. 来看Intel官方手册上对AND的定义:首先AND会影响SF, ZF, PF, CF, OF标志位。2. 来看看jle发生跳转的条件jle会受到ZF的影响。也就是说如果SRC1 AND SRC2的结果是0。ZF标志会变成1。跳转就会发生jle发生跳转的另一种可能是SF != OF。而我们看到AND操作中其会强制CF和OF为0。所以原创 2021-07-07 19:35:20 · 3281 阅读 · 1 评论 -
windbg与Bochs一些调试命令笔记
Windbg分为三种命令: 标准命令, 点号(.)开头的元命令以及感叹号(!)开头的拓展命令dd/dw/db: 以dword/word/byte方式查看内存da xxx: 显示xxx地址处的ascii表示df xxx:浮点显示dv: 查看变量内容du: 查看内存中UNICODE值display type(dt): 显式结构体内部 (_eprocess, _KPROCESS, _DISPATCHER_HEADER)u: 查看反汇编, 后面加地址ub: 查看当前指令之前内容的反汇编uf:原创 2021-07-02 19:32:41 · 697 阅读 · 0 评论 -
OD使用笔记
Alt+F9: 直接从系统模块飞回程序模块Ctrl+F9: 执行到当前函数的结尾F4: 执行到选中的语句处内存断点的利用:在数据上下的断点,如果读取或写入该数据则会断下来。在内存窗口右键选Search,在ASCII上输入内容,然后输入搜索内容搜索到后,找到地址下内存断点后点击运行即可下断点的方法:1. 命令方式2. 搜索API设断点:给API设置断点,一旦调用就会断下搜索机器码搜索Jmp命令搜索命令点..原创 2021-06-26 21:58:44 · 1276 阅读 · 0 评论 -
IDA使用笔记记录[长期笔记]
a: 转成ASCIId: 转成数据, 按一次是db,两次dw,三次ddc: 转成代码u: 编程未定义G: 跳转指令, 跳转到指定地址ALT+T: 搜索指令,搜索关键字F5: 把汇编编程C语言, 想回到汇编直接选IDA View即可N: 按下某个名字并且修改名字,全局有效进入在Structures栏里, 点击Edit选择添加结构体即可添加结构体选择结构体名后按d后即可添加成员,再次按d几次与上面d操作一样选择某一成员,按alt+q可以把该成员变成IDA内所有可识别的其他类型结构体, 这原创 2020-10-31 13:41:20 · 884 阅读 · 0 评论 -
OllyDBG反汇编入门教程
转载:https://blog.csdn.net/threshold1980/article/details/53165274一、OllyDBG 的安装与配置OllyDBG 1.10 版的发布版本是个 ZIP 压缩包,只要解压到一个目录下,运行 OllyDBG.exe 就可以了。汉化版的发布版本是个 RAR 压缩包,同样只需解压到一个目录下运行 OllyDBG.exe 即可:OllyDBG 中各个...转载 2018-04-13 21:01:11 · 6266 阅读 · 2 评论 -
W32Dasm反汇编基础教程
转载: https://blog.csdn.net/linjf520/article/details/7519997W32Dasm是一个强大的反汇编工具,操作简单,使用方便。通常被程序员使用,当然也可被用来Crack软件了,很适合Cracker使用。我在这把与crack相关的功能简述如下:1.0 开始2.0 保存反汇编文本文件和创建方案文件3.0 反汇编文本代码的基本操作4.0 复制汇编代码文本5...转载 2018-04-13 21:55:48 · 4709 阅读 · 0 评论 -
[脱壳]手脱UPX壳
0x00 简介UPX壳是一种压缩器。经其加壳后的程序的PE结构如下:其特点是加壳后除了资源的节,其他节区都不见了,转换成了UPX0和UPX1两个节区。并且UPX0节的磁盘文件大小变成了0。实际上,UPX压缩器将这些节区压缩后放置于UPX1中,并且将压缩和解压代码也放到里面去。一旦该程序被加载运行,位于UPX1节的解压缩代码会释放原数据到UPX0中并且让PE正常运行。0X01 硬...原创 2019-07-24 15:38:17 · 1402 阅读 · 0 评论 -
[PE结构] 手工给32位PE文件增加一个新节
0x01 去除重定位表为了更好的理解PE文件结构,首先得了解增加一个节区需要修改什么,本片博客先去除.reloc节区再增加一个新的.new节区。FileHeader.NumberOfSections 节区数量 OptionalHeaders.SizeOfHeaders PE头的大小(因为增加了一个新的IMAGE_SECION_HEADER) OptionalHeaders.SizeO...原创 2019-07-24 22:21:59 · 1351 阅读 · 0 评论 -
汇编浮点指令fld、fstp
FLD类似于 PUSH指令FSTP类似于 POP指令FADD类似于 ADD指令1、FLD指令格式:FLD STReg/MemReal指令功能:将浮点数据压入协处理器的堆栈中。当进行内存单元内容压栈时,系统会自动决定传送数据的精度。比如:用DD或REAL4定义的内存单元数值是单精度数等。STReg是处理...转载 2019-07-22 23:52:42 · 7023 阅读 · 1 评论