参考: 阮一峰 汇编语言入门 (寄存器,内存模型,CPU指令)
逆向工程核心原理
第4章 IA32位寄存器
基本程序运行寄存器:4类寄存器
-
通用寄存器,8个,32位
-
段寄存器,6个,16位。内存保护技术,划分内存
-
程序状态与控制寄存器
EFLAGS
,1个,32位
ZF(Zero flag,零标志):若运算结果为0,则其值为1(true),否则为0
OF(overflow flag,溢出标志):有符号整数溢出/最高有效为MSB改变时为1
CF(carry flag,进位标志):无符号整数溢出为1 -
指令指针寄存器
EIP
,1个,32位:CPU要执行的指令地址
-
EAX:累加器,保存返回值。所有win32 API函数都会把返回值保存到EAX
-
EBX:基址寄存器
-
ECX:计数器,每次循环-1
-
EDX:数据寄存器
以上常用于算术运算,保存常量和变量
- EBP:基址指针,ebp上面是返回地址和传入参数,下面是临时变量
- ESI:源字符串索引
- EDI:目标字符串索引
- ESP:当前栈顶地址
以上四个常用于保存内存地址的指针
第5章 栈
栈的作用
- 保存局部变量
- 传递参数
- 保存返回地址
push时,栈指针向栈顶移动(低位),pop时向栈底移动(高位)
第7章 栈帧
利用EBP访问栈内局部变量,参数,返回地址(缓冲区溢出攻击)。
初始化时,将ESP的值赋值给EBP,以EBP作为基址,访问变量,最后将EBP的值赋值给ESP,还原到最初状态。
最新编译器的优化optimization不会生成栈帧。
加密和解密
C4 逆向分析
4.1 32位逆向
启动函数后调用winmain函数
根据call和ret指令 识别函数;或通过寄存器传递函数地址(鼎泰计算函数地址),如call [4*eax+10h]
三种传递函数参数方式:
栈:esp栈顶指针,stdcall从右往左压入参数
寄存器:fastcall,Delphi采用fastcall时将参数分别放在eax,dx,cx中剩余的按从左至右压入栈
全局变量隐含参数传递