逆向工程核心原理3--栈帧

最新推荐文章于 2022-02-15 13:05:26 发布
最新推荐文章于 2022-02-15 13:05:26 发布
阅读量249 收藏 1
点赞数 1
分类专栏: 逆向安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40535097/article/details/98488985
版权

栈帧

  • 栈帧在程序中用于声明局部变量、调用函数,所利用的是EBP(栈帧指针)寄存器来访问栈内局部变量,参数,函数返回地址
  • 栈帧结构
PUSH EBP			                                               ;函数开始(使用EBP前先把已有的值压入栈)
MOV EBP, ESP                                                       ;保存当前的ESP内的值到EBP寄存器中

......	                                                           ;函数体(无论ESP怎么变化,EBP不好发生改变)

MOV ESP, EBP	                                                   ;将函数的起始地址返回ESP中
POP EBP	                                                           ;出栈EBP
RETN                                                               ;函数终止

调试StackFram.exe

StackFram.cpp

#include "stdio.h"

long add(long a, long b)
{
    long x = a, y = b;
    return (x + y);
}

int main(int argc, char* argv[])
{
    long a = 1, b = 2;
    
    printf("%d\n", add(a, b));

    return 0;
}

开始调试

附加
  • 使用OD打开StackFram.exe
  • 按Ctrl + G 转到401000 地址处
    *在这里插入图片描述
    以上是对于Add() 函数和Main() 函数的汇编代码
开始调试,生成栈帧
  • 首先从主函数址里开始执行,地址:0040102
  • 下断点,按F9开始运行,观察EBP
  1. 压入EBP,并且将ESP的数值赋值到EBP(EBP = 0019FF28)
  2. 生成变量a,b,压栈
  3. 调用Add() 函数的CALL,压栈CALL的地址
  4. 注意:此时ESP 已经变动了几次,但是EBP仍然没有变动
  5. 在add() 函数中,EBP 重新被赋值为0019FF10
  6. 在执行完成函数后,EBP复原为0019FF28
  7. 同理调用printf()函数
  8. 程序执行完成

注:XOR 为异或指令,代码中XOR EAX,EAX 与MOV EAX,0 功能一样,但是XOR 执行更快,通常作为寄存器初始化操作

秃头的JJ
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆行工程核心原理pdf、代码以及编译好的测试软件
02-08
超清的pdf,连代码都可以看清楚,而且目录很完整。里面附带了所有例子的源代码,怕有人无法搭建编译环境,所以还添加了代码编译好的程序。
StackFrame
qq_39249347的博客
08-09 1065
栈帧 栈帧就是利用EBP寄存器访问栈内局部变量、参数、函数返回地址等的手段。 栈帧对应汇编代码 PUSH EBP MOV EBP,ESP ... MOV ESP,EBP POP EBP RETN 调试示例:stack frame.exe Stack Frame.cpp #include "stdio.h" long add(long a, long b) { long x = a, y = b; return (x + y); } int main(int argc, cha
栈帧 stack frame
Dong_HFUT的博客
02-15 2791
函数调用栈帧复习和验证
stack frame和函数调用--眼见为实
whille的专栏
01-21 1345
从汇编层面上看程序,最主要的事务是函数调用,所以掌握函数调用stack frame的概念是基本功。以MSVC6为工具,debug一个小测试程序,就可以理解其中的原理了。测试程序如下,是不是很简单?void test2(){}void test1(){    test2();}int main(){  
函数的调用过程,从汇编和内存的角度分析
Quan的博客
04-22 1469
函数的调用过程 —— 从反汇编和内存的角度分析 程序的执行过程可看作连续的函数调用。当一个函数执行完毕时,程序要回到调用指令的下一条指令(紧接call指令)处继续执行。函数调用过程通常使用堆栈实现,每个用户态进程对应一个调用栈结构(call stack)。编译器使用堆栈传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量。 一、汇编语言基础知识回顾 1、X86汇编语言的差异 X86 下常用的汇编有 AT&T 与 Intel 两种,二者在语法上有一定的差
逆向工程-二进制分析
11-08
逆向工程是软件安全领域的一种重要技术,主要目的是理解或改变已经编译成二进制形式的软件。在这个过程中,二进制分析是核心步骤,它涉及到对机器指令的解析和程序逻辑的理解。本文档通过一个名为“二进制炸弹”的...
(6.6.1)--讲义1
08-03
标题中的"(6.6.1)--讲义1"可能指的是课程的一个章节编号或者是一个学习单元,结合...通过这个实验,学生将能够更深入地理解计算机系统的底层工作,提高安全意识,并掌握利用缓冲区溢出漏洞进行逆向工程和调试的技能。
汇编语言-使用win32汇编编写的加减计算器.zip
最新发布
02-22
在IT领域,汇编语言是一种低级编程语言,它与机器指令一一对应,直接控制计算机硬件。本资源“汇编语言-使用win32汇编编写的加减计算器.zip”提供了一个使用...同时,这也是迈向系统编程和逆向工程等领域的重要基础。
逆向c++
05-09
例如,虚函数表(vtable)、构造函数与析构函数的调用、对象的初始化顺序等都是C++中的核心概念,但在逆向工程时,我们需要直接面对机器码来解析这些行为。 文章可能会介绍C++的内存布局,包括栈上和堆上的对象分配...
OllyDbg教程中使用的crackeme.exe程序
01-04
在计算机安全领域,逆向工程是一项重要的技能,它涉及到对软件的深入理解,包括其内部工作原理、加密机制以及安全漏洞等。在这个过程中,OllyDbg是一个不可或缺的工具,它是一款强大的Windows调试器,特别适用于反...
逆向工程核心原理
weixin_33751566的博客
08-14 427
致亲爱的中国读者: 大家好 !我是《逆向工程核心原理》 作者 李承远(ReverseCore)。 (韩文博客地址:www.reversecore.com) 首先,很高兴我的《逆向工程核心原理》-书在中国IT强国出版。我以前是C/C++开发工程师,后来有机会加入安全公司并从事恶意代码分析工作,从此开始对逆向技术进行深入研究。熟悉逆向技术就能轻松了解程序内部结构,这让我逐渐沉醉于逆向技术...
逆向工程核心原理笔记(六)——栈帧
a1351937368的博客
05-17 665
逆向工程核心原理笔记(六)——栈帧 1.栈帧 栈帧是利用 EBP (栈帧指针)寄存器访问栈内的局部变量,参数,函数返回地址等等的手段,通过前面的学习可以了解到,ESP 寄存器承担着栈顶部指针的作用,EBP 寄存器负责行使栈帧指针的职能。在程序运行的时候,ESP 寄存器的值随时变化,访问栈中函数的局部变量,参数的时候,如果按照 ESP 的值为基准编写程序将会十分困难,并且很难使 CPU 引用带准确的地址,所以在调用某个函数的时候,需要先把 ESP 的值作为基准点保存到 EBP 中,并且维持在函数内部,这样无论
逆向工程核心原理笔记
weixin_30566063的博客
01-24 126
0x1 软件逆向分为静态分析法和动态分析法. 静态分析不执行代码文件,通过观察代码文件外部特征,和通过反汇编工具查看内部代码,分析代码结构. 动态分析执行代码文件,可以观测到代码流,内存状态。和文件,注册表,网络,等软件行为.动态分析常常使用调试器(Debugger)分析程序内部结构和动作原理. 此书作者在分析软件前执行的步骤. 1,通过静态分析手机代码相关信息,通过信息推测软件的结构和...
逆向工程核心原理:abex's crackme#1 0x02 190603
爱党人士
06-03 501
中间介绍的寄存器,栈什么的都是汇编基础, 注意16位和32位的区别即可。 abex’s crackme 是一个著名的简单小程序。 初学者也会容易理解。 下载见上几遍的云盘链接的文件。 首先打开,看看是什么类型的, 继续点, ok,大概知道这是判断你的电脑c驱动器类型,然后返回正确或者error, right,拉进od, main函数直接位于ep,用汇编语言编写的程序实锤了。 果然, 那么直接...
逆向工程核心原理 第三章
王嘟嘟的博客
04-10 470
0x00 前言 老婆不学这个了,我还是接着学吧。 0x01 字节序 字节序主要分为小端序与大端序。 数据为单一字节时,字节存储顺序都是一样。只有数据长度在2个字节以上时,数据为多字节数据时才会有大端序还有小端序,导致数据的存储顺序不同。 0x02 小端序 ...
游戏逆向
qq_40535097的博客
05-25 5466
学习案例:热血江湖 使用环境:Visual Studio 2019 学习使用的工具:逆向工具集 注:更新日志: 1.0:最新版人物信息基址:0x02C166D8;最新版背包存放基址:0x02E3B3E4 2.0:最新版物品使用call 为0x00838480 3.0: 人物基址:0x02C176D8‬; 背包存放基址:0x02E3C3E4; 游戏主窗口基址:0x01195F88; 使用物品的CALL:0x008384F0; 人物动作基址:0x02E3CD58; 动作使用的CALL:0x007139E0;
编译器构造原理:抽象机与栈帧结构解析
编译技术还在软件安全、程序理解和逆向工程等领域有广泛应用。 《编译原理》强调理论知识的结合,如形式语言和自动机理论,这包括正则表达式和有限状态自动机,它们是解析输入的基础。语法制导定义和属性文法是描述...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值