逆向分析入门之汇编语言基础1_自学笔记1

最新推荐文章于 2022-12-16 23:36:16 发布
最新推荐文章于 2022-12-16 23:36:16 发布
阅读量341 收藏 1
点赞数 1
分类专栏: # Windows逆向 文章标签: 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41993356/article/details/113180712
版权

逆向分析入门_自学笔记2

逆向分析入门_自学笔记3

1.程序在内存在如何存储?

二进制存储

进制运算:

8进制加法

用加法表

1+1=2

 

 

 

 

 

 

1+2=3

2+2=4

 

 

 

 

 

1+3=4

2+3=5

3+3=6

 

 

 

 

1+4=5

2+4=6

3+4=7

4+4=10

 

 

 

1+5=6

2+5=7

3+5=10

4+5=11

5+5=12

 

 

1+6=7

2+6=10

3+6=11

4+6=12

5+6=13

6+6=14

 

1+7=10

2+7=11

3+7=12

4+7=13

5+7=14

6+7=15

7+7=16

 

乘法表

1*1=1

 

 

 

 

 

 

1*2=2

2*2=4

 

 

 

 

 

1*3=3

2*3=6

3*3=11

 

 

 

 

1*4=4

2*4=10

3*4=14

4*4=20

 

 

 

1*5=5

2*5=12

3*5=17

4*5=24

5*5=31

 

 

1*6=6

2*6=14

3*6=22

4*6=30

5*6=36

6*6=44

 

1*7=7

2*7=16

3*7=25

4*7=34

5*7=43

6*7=52

7*7=61

二进制与十六进制的映射

十六进制:0    1        2       3       4       5      6       7       8       9       A       B      C       D      E       F

二进制:0000  0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111

2.从整体上了解一个EXE程序

任何一个在Windows上运行的可执行文件都要遵守一定的格式,这个格式就是PE文件结构,比如exe,dll,部分sys.

为什么要了解PE文件结构?

想要分析一个程序,那么有几件事情必须做:

第一:程序从哪里开始执行?

第二:代码存在哪里?

第三:数据存在哪里?

3.数据宽度和逻辑运算

一:数据宽度:由于受硬件的制约,数据都是有长度限制的(超过最多宽度的数据会被丢弃。)

二:4位宽度表示:(假设计算机只能存储4位2进制数){则最多能存16个数}

实例1:4位宽度表示:(假设计算机只能存储4位2进制数){则最多能存16个数}

(1).无符号数:0 1 2 3 4 5 6 7 8 9 A B C D E F

(2).有符号数:

                             

实例2:8位宽度表示:(假设计算机只能存储8位2进制数)(2个16进制数){则最多能存256个数}

无符号数:0 1 2 3 4 5……FF(十进制255)

有符号数:

正数:0 1 2 3 4 5……7F

负数:-1   -2   -3  -4   -5……-128 

           FF FE FD FC FB……80                

                                                                                           

(三).几个重要的计量单位:

BYTE 字节 =8bit

WORD 字 =2字节=16bit

DWORD 双字=4字节=32bit

 

(四).逻辑运算

(1).或(or |):只要有一个为1就是1

         1011000101

or      1001100110

--------------------------

          1011100111 

(2).与(and &):两个都为1才是1

(3).异(xor ^): 不一样为1

(4).非(not !):!1是0,!0是1

 

逻辑运算的具体应用:

(1).cpu是如何计算2+3=?

容器X(存2):0010

容器Y(存3):0011      容器R(存异或的结果):0001

 

先来异或(xor)

         0010

xor    0011

------------------

         0001

如何确定上面计算是否结束(用 与&),然后让结果左移1位

        0010

&      0011

------------------

        0010

左移:(原来)0010 << 1(左移1位)==0100

若左移的结果为0000,则R中存的就是计算结果;否则把R赋值给X,把左移运算的结果赋值给Y

X:0001

Y:0100           R:0101

         0001

xor    0100

------------------

         0101

 

        0001

&      0100

------------------

        0000

0000 <<1==0000,所以运算结束,R:0101就是结果 (0101)2=(5)10

 

(2).如果想获取某一个值得第N位的值是多少?

如:8F(想知道它的第4位,是0还是1)

           10001111

and     00001000

------------------------

           10001111

所以第4位是1

 

(3).最简单的加密算法(异或^ ):

要加密的数据:(2015)16                                                    

密钥:(54)16(两位密钥,所以两位两位的加密)   54:01010100                            

加密过程:

              20                                15

         00100000                          00010101

^       01010100                  ^       01010100

---------------------          -------------------------------

         01110100                           01000001

加密后的结果:        74                                41

 

解密过程:

               74                                41

        01110100                            01000001

^       01010100                  ^       01010100

---------------------          -------------------------------

        00100000                            00010101

解密后的结果:        20                                15

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

zulkar的专栏
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向分析总结
qq_27274665的博客
03-23 2741
逆向分析的两大基本功: · 核心代码的分析(分析反汇编代码). · 核心代码的定位.   2. 核心代码的定位     逆向一般是带有强烈的目的性的, 比如逆出一个程序的某种功能的实现函数,或者是逆出一个程序的流程等等.      要完成这样的功能就需要定位到具体的函数上, 然后才能分析其代码,否则在庞大的二进制流中, 信息的获取必定是极其艰难的.    
逆向分析-汇编分析
阿Q在行走
02-04 587
汇编实现: 1.参数入栈; 2.函数调用;升栈;保护现场;填充缓冲区,执行操作;恢复现场,减低堆栈 3.平衡栈; eg: //保存原来栈底 push ebp //提升栈 mov ebp,esp sub esp,0x40 //保护现场 push edi push esi push ebx //填充堆栈 mov eax,0x0cccccccc lea edi,[ebp-40] mov ecx,0x10...
逆向分析入门汇编语言基础4_自学笔记4
没有网络安全,就没有国家安全
06-03 696
JMP指令:修改EIP的值(但是不影响寄存器,堆栈的值) 实际上:MOV EIP,寄存器/立即数 简写为:JMP 寄存器/立即数 CALL指令:(CALL会影响寄存器ESP的值,也就是CALL的返回地址入栈,ESP上移) PUSH 地址B ESP=003EFEA4,说明返回地址004F3135入栈了 堆栈:003EFEA4里存的就是CALL的返回地址004F3135 计算如下:004F3130(CALL调用的地址)+5BYTE(E8 0C 00 00 00)=004F3135(返回地址.
逆向之汇编语言
菜鸟-传奇
04-26 1788
逆向之汇编语言   首先介绍计算机程序在计算机中的处理过程。  现代计算机存储和处理的信息以二值信号表示,也就是二进制序列,程序对于计算机而言就是一串二进制数据流,以流水线的方式进入CPU进行运算。主要在CPU与内存之间进行数据传递。但程序员写出来的程序是以高级语言的形式展现的,计算机不是人脑,看不懂高级语言的语法,只能识别二进制序列,所以计算机需要将高级语言翻译成二进制序列进行解读和执行。然而...
逆向分析入门汇编语言基础3_自学笔记3
没有网络安全,就没有国家安全
01-27 337
逆向分析入门_自学笔记1 逆向分析入门_自学笔记2 18. EFLAGS寄存器图解(标志寄存器) 重点: CF,PF,AF,ZF,SF,OF (1).进位标志CF(Carray Flage):如果运算结果的最高位产生了一个进位或借位,那么,其值为1,否则为0 MOV AL,0XFF ADD AL,1 //进位了 所以CF的值为1 (2).奇偶位PF(Parity Flag):用于反映运算的结果中“1”的个数的奇偶性。 若“1”的个数为偶数,则PF的值为1,否...
ARM汇编语言官方手册(中文)pdf_逆向分析_手机app逆向arm参考资料_arm汇编语言pdf_ARM汇编官方_ARM汇编_
10-04
《ARM汇编语言官方手册(中文)》是深入理解并掌握ARM架构下汇编语言编程的重要参考资料,尤其对于从事逆向分析和手机app逆向工程的人员来说,它更是不可或缺的工具书。ARM架构广泛应用于各种移动设备和嵌入式系统,...
汇编语言(ASM)从入门到精通.rar_学精通汇编_汇编_汇编 学习_汇编 语言 ASM从 入门 精通_汇编语言
09-19
汇编语言(ASM)从入门到精通》是一份针对汇编语言学习者的全面参考资料,旨在帮助初学者迅速掌握汇编基础知识并逐步精通高级技巧。汇编语言是计算机科学的基础,它是一种低级编程语言,直接对应于机器指令,因此...
汇编语言基础快速入门资料
最新发布
02-25
因为偏向底层,直接与计算机硬件打交道,你能了解到计算机原理及编译原理的相关知识,在破解软件、游戏外挂、计算机病毒、加密、脱壳、逆向工程等方面汇编语言也能发挥它极强的作用。所以下面简单介绍与学习一下这门...
catphish.rar_汇编语言_Visual_C++_
08-12
汇编语言是计算机编程的基础,它与机器代码直接对应,程序员通过汇编语言编写程序,可以实现对计算机硬件的直接控制。而Visual C++是微软开发的一个集成开发环境(IDE),用于编写C++代码,支持Windows平台的应用...
CPPxx.rar_汇编语言_Visual_C++_
08-11
这部分可能会详细讲述从早期的机器语言、汇编语言到高级语言的演进过程,以及各种语言对软件工程的影响,包括C语言的诞生及其在系统编程中的地位,以及C++如何在C的基础上增加了面向对象的特性,成为现代软件开发的...
ARM汇编资料+ARM逆向分析资料
10-02
配套「随 亦」的博客《Android安全/安全技术--19--ARM汇编语言》一文的资料。
逆向分析入门汇编语言基础2_自学笔记2
没有网络安全,就没有国家安全
01-26 468
逆向分析_自学笔记1 4.32位通用寄存器(寄存器也就是前面说的容器) 32位通用寄存器的指定用途如下:(背熟) 寄存器 主要用途(可以先不记) 编号 存储数据范围 EAX 累加器 0 ...
【逆向】汇编
小张同学的博客
03-29 418
参考: 阮一峰 汇编语言入门 (寄存器,内存模型,CPU指令) 逆向工程核心原理 第4章 IA32位寄存器 基本程序运行寄存器:4类寄存器 通用寄存器,8个,32位 段寄存器,6个,16位。内存保护技术,划分内存 程序状态与控制寄存器EFLAGS,1个,32位 ZF(Zero flag,零标志):若运算结果为0,则其值为1(true),否则为0 OF(overflow flag,溢出标志):有符号整数溢出/最高有效为MSB改变时为1 CF(carry flag,进位标志):无符号整数溢出为1
逆向学习速览-汇编基础
阿权的博客
10-14 977
根据窗口句柄及基地址获取某一地址的值 #include<stdio.h> #include<Windows.h> int main() { // 根据窗口名获取进程句柄 HWND hWnd = FindWindowA(NULL, "扫雷"); //存放窗口进程id DWORD dwPid = -1; //存放读取的值 int tmp; //根据句柄获取进程id GetWindowThreadProcessId(hWnd, &dwPid); //根据进程i.
汇编逆向基础
freeking101的博客
10-31 723
汇编逆向基础:https://www.xmind.net/m/kvJK/
MIPS32汇编逆向分析基础
sky123博客
12-16 1734
MIPS 有 32 个通用寄存器 (General purpose registers),以美元符号 ($) 表示。可以表示为 $0~$31,也可以用寄存器名称表示如,$sp、 $t9 、$fp 等等。
再见病毒一枚
zhangmiaoping23的专栏
08-09 1485
http://bbs.pediy.com/showthread.php?p=1207854#post1207854 之前论坛上已有发大牛分析了,抱着学习目的练习下   病毒名称:      xxmb                                                                                                 
反汇编逆向分析
xcw_1987的博客
04-12 450
使用VS反汇编调试 http://blog.csdn.net/mohan90118/article/details/47334199 浅析VS2010反汇编 http://blog.csdn.net/u013467442/article/details/47060261 vs中c++的反汇编分析 http://blog.csdn.net/x1779702681/article/detai...
循环语句的反汇编分析
qq_31125257的博客
10-16 524
for语句的句法 实例分析1 汇编代码的一般顺序:表达式1----->表达式3-----》表达式2,如下图 也可以如下汇编代码所示,按正常的顺序逻辑:1—2----3 1 mov eax,[ebp+8]//赋初值 2 mov [ebp-4],eax 3 mov edx,[ebp-4]//条件判断 4 cmp edx,[ebp-Ch] 5 jge 16 6 mov eax,[ebp-4]//循环体 7 push eax 8 push offset string "%d\n" 9 call
逆向工程入门汇编语言教程
1. **基础概念**:介绍汇编语言的基本元素,如指令集、寄存器、寻址模式和操作码,以及如何将它们用于编写简单的程序。 2. **数据处理**:讲解如何在汇编中处理各种数据类型,如整数、浮点数和字符串,以及相关的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值