滴水逆向学习

已于 2022-06-26 17:12:46 修改
阅读量262 收藏 1
点赞数
分类专栏: 逆向 文章标签: 安全
于 2022-01-23 16:38:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63685461/article/details/122651540
版权

一.寻址公式 [立即数]

1.读取内存的值

MOV EAX,DWORD PTR DS:[0x13FFC4]

读DWORD 即读取内存地址为 0x13DDC4 0x13FFC5 0x13FFC6 0x13FFC7  的内存下存的值

2.向内存中写入值

MOV DWORD PTR DS:[0x13FFC4],EAX

即将EAX中的值 写入地址为0x13DDC4 0x13FFC5 0x13FFC6 0x13FFC7  的内存下

3.获取内存编号

LEA EAX,DWORD PTR DS:[0x12FFC4]

作用:将一地址下的内存编号在EAX中展示出来

二.寻址公式2

1.读取内存的值

MOV EAX,0x123456

MOV ECX,DWORD PTR DS:[EAX]

含义:将EAX下存的内存编号下的内容展示在ECX中

2.获取内存编号

MOV ECX,DWORD PTR DS:[EAX]

LEA ECX,DWORD PTR DS:[EAX]

含义:将EAX下存的内存编号展示在ECX中

三.寻址公式3

1.读取内存的值

MOV EAX,DWORD PTR DS:[ECX+4]

即读取的是ECX 下地址往后移4的地址下所存的值展示在EAX中

2.获取内存编号

LEA EAX,DWORD PTR DS:[ECX+8]

即将ECX下地址往后移8的地址下的内存编号在EAX中展示

若ECX 中展示的地址为12FFC4 则编号为12FFCC

四.寻址公式4

1.读取内存的值

MOV EAX,0x13FFC4

MOV ECX,0x2

MOV EDX,DWORD PTR DS:[EAX+ECX*4]

EAX+ECX*4就是16进制加法 执行后EDX下存的就是运算完后得到的内存编号下存的内容

2.获取内存编号

LEA EDX,DWORD PTR DS:[EAX+ECX*4]

这个跟上一个一样只不过是读取这个地址下的内存编号

注:

1.如果运算的结果超过的FFFFFFFF那么结果只会取FFFFFFFF而且在实际情况下是不会超过FFFFFFFF

2.乘的数只能是1 2 4 8

五.堆栈

 堆栈中数据的存入 

MOV EBP,0x12345678(栈底)

MOV ESP,0x12345678(栈顶)

方法一:

MOV DWORD PTR DS:[ESP-4],AAAAAAAA

SUB ESP,4

方法二:

LEA ESP,DWORD PTR DS:[ESP-4]

MOV DWORD PTR DS:[ESP],AAAAAAAA

   堆栈中数据的查找

栈顶查找法 

MOV EAX,DWORD PTR DS:[ESP+8]

栈底查找法

MOV EAX,DWORD PTR DS:[EBP-8]

   堆栈中数据的弹出

方法一:

MOV EAX,DWORD PTR DS:[ESP+4]

ADD ESP,4

方法二

LEA ESP,DWORD PTR DS:[ESP+4]

MOV EAX,DWORD PTR DS:[ESP-4]

另一种数据的压入弹出的方法 

CPU默认的将EBP 和ESP作为栈底和栈顶

则压入可执行为 

PUSH 12345678 

也可为 

PUSH EAX

弹出

POP 12345678

POP EAX

Assass1n-
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向题解
huster0828的博客
11-20 967
(学图片隐写的时候感觉还好,到逆向的时候就不行了,感觉脑子不够用了,非专业人士写的博客,漏洞百出。) 1.入门逆向(from Bugku) 解压之后是一个.exe文件 用file查看之后发现是32位的 然后放到IDA中查看,在main函数中就看到了这个 将这个16进制的数转换成ASCii码,就找到flag啦 flag{Re_1s_S0_C0OL} 2. Easy_vb(from Bugku) 下载下来是一个.exe的文件,打开是这样的,需要选择正确的密码 放进IDA里面,Alt + T 搜索字符串
滴水逆向中级课件源码
08-06
滴水逆向中级课件源码,学习最前沿的软件安全逆向分析技术。
滴水逆向课件和学习资料
05-03
综合所有网络资源整合
汇编语言之寻址方式
取个名字太难了a的博客
04-12 416
【代码】汇编语言之寻址方式。
汇编笔记三【寻址方式 以及 堆栈】 by:凉游浅笔深画眉 / Net7Cracker
weixin_30924087的博客
09-22 193
(一)寻址方式   一、寻址方式一:    立即数寻址:[立即数]    例:     读取内存的值:     MOV EAX,DWORD PTR DS:[0xFFFFFFFF]     向内存中写入数据:     MOV DWORD PTR DS:[0xFFFFFFFF],eax     获取内存地址:     LEA EAX,DWORD PTR:DS[0xFFFFFFF...
dword c语言,dword ptr指令详细解析
weixin_39700548的博客
05-22 806
对于这个问题,汇编语言中用一下方法处理。(1)通过寄存器名指明要处理的数据的尺寸。例如:下面的指令中,寄存器指明了指令进行的是字操作:mov ax,1mov bx,ds:[0]mov ds,axmov ds:[0],axinc axadd ax,1000下面的指令中,寄存器指明了指令进行的是字节操作:mov al,1mov al,blmov al,ds:[0]mov ds:[0],alinc al...
学习IDA---第二天第二题
JLEnoch的博客
10-28 443
REVERSE
ida实用技巧
qq_35576225的博客
11-04 2566
debugger->debugger windows ->locals找到相应的变量 1.在寄存器中找到相应的位置更换变量类型,比如用a键将其转化为字符串。2.直接在定义变量的位置更换变量类型,比如从_byte *改为 char *,就可以在locals中刷新后显示。通过这个操作可以将变量转换数组,将数据类型修改为 对应的类型的指针 例如 char *a1。12 修改反汇编代码 可以用F2 Edit-patch program。5.修改伪代码变量类型 快捷键y。6.修改汇报中的变量类型。
BUUCTF--Reverse--easyre(非常简单的逆向)WP
WdIg-2023的博客
05-13 627
这道题目非常简单,发现是64位exe,直接拖到IDA Pro中即可看到flag,在WinHex中直接查找字符串也可以得到。
【2020.11.14】在汇编中内存地址的五种形式
oalken的博客
12-21 1160
形式一:立即数 读取内存的值: MOV EAX, DWORD PTR DS:[0X13FFC4] 向内存中写入数据: MOV DWORD PTR DS:[0X13FFC4], EAX 形式二:[REG] REG代表寄存器只能是8个通用寄存器中的任意一个 读取内存的值: MOV EAX, 0x13FFD0 MOV EAX, DWORD PTR DS:[ECX] 向内存中写入数据: MOV EDX, 0x13FFD8 MOV DWORD PTR DS:[EDX], 0x876...
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
滴水逆向3期作业——filebuffer->imagebuffer->newbuffer->存盘功能源码,了解对文件的PE头解析等原理等,代码容易理解,注释丰富,是学习PE的好帮手!
滴水逆向三期课件(全套)
03-25
滴水全套课件配合视频讲解,高效学习,下载就不亏!!
【MFC X86常用汇编指令转十六进制机器码】
lwqamm的博客
04-30 2392
MFC X86常用汇编指令转十六进制机器码 X86常量宏.h #pragma once #define CALL 1 #define RETN 2 #define PUSHAD 3 #define POPAD 4 #define CALLEAX 5 #define CALLECX
C++总结(三)
An_Mo的博客
02-12 520
一、C++中动态内存管理: 1、C/C++程序运行时:内存分布情况 a、 栈又叫堆栈,非静态局部变量/函数参数/返回值等等,栈是向下增长的。 b、内存映射段是高效的I/O映射方式,用于装载一个共享的动态内存库。用户可使用系统接口创建共享共 享内存,做进程间通信。(Linux课程如果没学到这块,现在只需要了解一下) c、. 堆用于程序运行时动态内存分配,堆是可以上增长的。 d、数据段–存储全局数据...
逆向之汇编(4),一些汇编常用指令
weixin_51325053的博客
06-07 622
1.MOV指令 2.ADD指令 加法 将eax和ecx初始化为1和2 执行: add eax,ecx 意味着:eax和ecx里的数据相加,并将结果返回给前者(即eax) (下面的指令同理) f8后: 3.SUB指令 减法 初始化eax和某内存地址(的数据) 为3和9 sub byte ptr ds:[0022ffc4],al 4.与AND指令 与运算 初始化eax和某内存地址为3和6(十六进制) and byte ptr ds:[0022ffc4],al 3和6 与运算==0010-
C++ 反汇编:多维数组与指针
CSDN
04-18 6577
反汇编(Disassembly) 即把目标二进制机器码转为汇编代码的过程,该技术常用于软件破解、外挂技术、病毒分析、逆向工程、软件汉化等领域,学习和理解反汇编对软件调试、系统漏洞挖掘、内核原理及理解高级语言代码都有相当大的帮助,软件一切神秘的运行机制全在反汇编代码里面。
Windows逆向分析入门(九)——实战篇(内存直接读取通讯录)
weixin_42194433的博客
06-27 555
前言 上一篇,聊到函数的调用关系是一条线的。这一篇,聊下函数的调用关系是分叉的,应该怎么分析。目的是内存直接读取通讯录。 分析 通讯录,是数据。 全局数据直接读取,局部数据间接拦截。 通讯录要经常用到,写成全局数据,方便读取。 看着和个人信息一样,是全局数据,内存里直接搜索。 但用什么搜索呢?并没有一个明确的数据可以代表通讯录。 一般说,通讯录里面有很多好友信息,要获取某个好友信息,在里面搜索。 也就是说,通讯录可以是一个数组,链表,或者一棵树,而这个集合的开头写成全局数据。 切入点 从获取某个好友的信息入
安全比赛逆向题基础二
keep_reading的博客
09-07 306
文章目录Ollydbg的使用—逆向动态调试模块详解easy_vebeasy_re Ollydbg的使用—逆向动态调试 OD,是一款具有可视化界面的用户模式调试器,结合了动态调试和静态分析,具有强大的反汇编引擎,能够识别数千个被C和Windows所使用的函数,并能将其参数注释出,能自动分析函数过程,循环语句,代码中的字符串等。优点:非常容易上手,并且对异常的跟踪处理相当灵活,这些特性使得OllyDbg成为调试ring3级程序的首选工具,爱好者不断地修改,扩充OllyDbg,脚本执行能力和开发插件接口使得其变得
保障餐饮场所安全:可燃气体报警器专业检测的必要性
最新发布
BDjiance的博客
05-21 328
可燃气体报警器是一种用于监测空气中可燃气体浓度的设备,一旦检测到可燃气体浓度超过设定的安全范围,就会发出警报,提醒人们及时采取措施,避免火灾事故的发生。在日常经营中,餐饮场所也应当加强对可燃气体报警器的日常维护和保养,定期清洁和检查,确保其在平时的使用中处于良好的状态。其次,定期检测也可以校准报警器的灵敏度,确保其能够及时、准确地检测到可燃气体的泄漏情况,提供更可靠的安全保障。综上所述,餐饮场所应当认真对待可燃气体报警器的专业检测周期,选择正规的专业机构进行检测和校准,保障其安全可靠。
滴水逆向ncknafxcw.pdb
11-18
滴水逆向是一个指的是液体水珠从接触面开始逆向移动的现象。由于水分子间的相互作用力,水珠通常会在水中向着重力方向下落。然而,在特定的情况下,我们可以通过一些特殊的手段使水珠逆向移动。 滴水逆向的实现主要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值