x64汇编语言与逆向工程基础指南(二)

已于 2024-10-16 18:42:23 修改
阅读量914 收藏 29
点赞数 23
分类专栏: # 逆向 文章标签: 学习 笔记 系统架构 软件工程 汇编
于 2024-08-16 17:11:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74259765/article/details/141229350
版权

目录

1. 前置知识

1.1 大、小端序存储

小端序(Little-endian)和大端序(Big-endian)是计算机存储数据时两种不同的字节序排列方式。这两种方式定义了在内存中多字节数据(如整数、浮点数)的字节顺序。

  • 大端序(Big-endian)

    • 在大端序存储中,数据的高字节(即最重要的字节)存储在低地址处,而低字节(即最不重要的字节)存储在高地址处。
    • 例如,假设有一个32位的整数0x12345678,其字节排列在内存中的顺序是:
      地址       数据
0x00       0x12
0x01       0x34
0x02       0x56
0x03       0x78
    • 大端序的优点是它符合人类阅读的自然顺序(从左到右)。在网络协议中,通常采用大端序来标准化数据格式,称为网络字节序。

  • 小端序(Little-endian)

    • 在小端序存储中,数据的低字节(即最不重要的字节)存储在低地址处,而高字节(即最重要的字节)存储在高地址处。
    • 例如,对于同样的32位整数0x12345678,其字节排列在内存中的顺序是:
      地址       数据
0x00       0x78
0x01       0x56
0x02       0x34
0x03       0x12
    • 小端序的优点是对较小的数据(如一个字节)进行读写操作时,无需重新排列字节,从而可以提高效率。许多现代的计算机体系结构(如Intel x86系列处理器)使用小端序。

具体区别可以参见下图:
在这里插入图片描述

总结

  • 大端序:高字节在低地址,符合人类的自然阅读顺序。
  • 小端序:低字节在低地址,常被认为对处理器更高效,也是编译器比较常用的。

1.2 汇编风格

Intel汇编风格AT&T汇编风格是两种不同的汇编语言语法格式,它们在语法和操作数顺序上有所不同。

1.2.1 Intel汇编风格

  • 操作数顺序:指令格式为 操作码 目的操作数,源操作数。即先写目的操作数,再写源操作数。
  • 示例MOV AX, BX 表示将 BX 的值移动到 AX 寄存器中。
  • 寄存器名:使用简短的寄存器名,如 AX, BX, CX 等。
  • 符号:使用 [] 表示内存地址,如 MOV AX, [1234h] 表示从内存地址 1234h 读取数据到 AX 寄存器。

1.2.2 AT&T汇编风格

  • 操作数顺序:指令格式为 操作码 源操作数, 目标操作数。即先写源操作数,再写目标操作数,即操作数的顺序与 Intel 是反向的。
  • 示例MOV %bx, %ax 表示将 bx 的值移动到 ax 寄存器中。
  • 寄存器名:寄存器名前加 % 符号,如 %ax, %bx, %cx 等。
  • 符号:使用 () 表示内存地址,如 MOV %ax, 1234(%bx) 表示将 1234 加上 bx 寄存器的值所指向的内存地址中的数据移动到 ax 寄存器中。

总结

  • Intel风格:操作数顺序为目标在前,源在后;寄存器名简短,无符号标记。
  • AT&T风格:操作数顺序为源在前,目标在后;寄存器名带有 % 符号,内存地址使用 () 符号。

显然,对于示例编译得到的exe程序,windows采用了小端序存储格式和Intel汇编风格

1.3 .bss段与.data段

在程序内存布局中,.bss段和.data段都是存储全局变量和静态变量的重要区域。它们在程序编译和运行时的行为有很大不同。

1.3.1 .bss

功能

  • .bss(Block Started by Symbol)段用于存储那些在程序开始运行前未被初始化的全局变量和静态变量。
  • 在程序启动时,.bss段中的数据会被自动初始化为零。

特点

  • 未初始化数据:这些变量在源代码中没有被显式初始化,例如 int globalVar;。它们默认值为零。
  • 节省空间:由于.bss段的数据在程序文件中不占用实际的空间(只在内存中存在),这可以减少程序的文件大小。
  • 内存分配:虽然.bss段在程序的二进制文件中不占用空间,但在程序加载到内存时,操作系统会为这些变量分配足够的内存空间,并将其初始化为零。

例子

int globalVar;  // 一个.bss段中的变量,因为它没有初始化赋值

1.3.2 .data

功能

  • .data段用于存储已初始化的全局变量和静态变量。这些变量在程序启动前已经有了确定的值。

特点

  • 已初始化数据:这些变量在源代码中有明确的初始值,例如 int initializedVar = 10;
  • 占用空间.data段中的数据在程序文件中是有实际大小的,因为它们的初始值被存储在程序的二进制文件中。
  • 内存分配:当程序被加载到内存中,操作系统会将这些变量的初始值从程序文件中读取到内存中。

例子

int initializedVar = 10;  // 一个.data段中的变量,具有有一个初始值

总结

  • .bss:存储未初始化的全局变量和静态变量;在程序启动时被初始化为零;节省程序文件空间,但在内存中占用空间。
  • .data:存储已初始化的全局变量和静态变量;程序文件中有实际的初始值;在内存中保留这些初始值。

2. 在内存中存储数据

若想在内存中存储常量,则需要将数据存放在.data段

首先打开程序内存布局,双击.data段,将.data段数据转储到内存1或2的地方。
在这里插入图片描述
在这里插入图片描述

2.1 存储纯数字常数

  • Step1:在转存的.data段选中某地址部分数据【以四字节为例】,右键进行编辑内存数据。
    在这里插入图片描述

假设需要将0x12345678存入指定地址0x7FF7D380B170,由于程序采用小端序存储模式,需要将数据编写为 \x78\x56\x34\x12如下图所示:

在这里插入图片描述

  • Step 2:接着将写入数据的地址内存复制给rax寄存器,改写汇编指令如下:
    在这里插入图片描述

  • Step 3:最后步过运行,即可在寄存器窗口查看到指定的数据已经被成功传递给rax寄存器。

在这里插入图片描述

  • Step 4 :最后尝试将rax寄存器的数据存储到另外一个地址0x7FF7D38B00,修改汇编指令最后查得该地址数据成功被改写。
    在这里插入图片描述
    在这里插入图片描述

最后,如果需要保存修改,导出补丁文件即可。之后将该补丁导入初始程序可以直接看到 “手动修改过的“ 数据已经固化在那个地址。【以上步骤中只有0x7FF7D380B170处数据满足,其他通过代码修改的数据则需要运行才会变化】

2.2 存储字符串常量

  • Step 1:编辑某个地址数据,修改为字符串”hello world“

tips:字符串hex编码末尾需要加\x00作为标识符。
在这里插入图片描述

  • Step 2:修改汇编代码将字符串所在地址复值给rax寄存器
    在这里插入图片描述
  • Step 3:查看寄存器窗口,rax寄存器值为存储字符串的地址,并且自动将字符串”hello world“解析出来了
    在这里插入图片描述

总结

  • 由于 .data段数据是固定的常量,因此如果手动修改了某个.data地址的数据,那么程序再次启动后该地址数据依然保存着被修改过的数据。
  • 相对的,.bss段数据保存的是变量,每次程序启动都会进行刷新,即修改后的数据再次启动会被清除

3. 在内存中存储变量

若想在内存中设置,则需要将数据存放在.bss段

  • Step 1:内存布局中双击.bss段,将数据转储到内存框区域,接着选定地址进行更改数据。
    在这里插入图片描述
  • Step 2:修改.bss地址数据,编写指令将数据赋值给rax寄存器
    在这里插入图片描述在这里插入图片描述
  • Step 3:接着尝试将rax寄存器的数据复制到另一个地址,成功修改.bss地址数据。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
x86-x64汇编语言、反汇编知识和IDA
m0_61634551的博客
01-20 1718
x86寄存器:通用寄存器:EAX, EBX, ECX, EDX, ESI, EDI栈顶指针寄存器:ESP栈底指针寄存器:EBP指令计数器:EIP段寄存器:CS, DS, ES, FS, GS, SSx86-64寄存器:(把E改成R)通用寄存器:RAX, RBX, RCX, RDX, RSI, RDI,R8-R15栈顶指针寄存器:RSP栈底指针寄存器:RBP指令计数器:RIP段寄存器:CS, DS, ES, FS, GS, SS16位寄存器:(把E或R删了)
x64汇编要点总结
More reading and learning to become excellent
01-18 2054
int a = 1; mov dword ptr [ebp - 8], 1 int b = 2; mov dword ptr [ebp - 14h],2 int c = a + b; mov eax, dword ptr [ebp - 8] ...
X64汇编概论
最新发布
ximengzhuying的博客
01-09 1026
X64概论
x64汇编
南宫封清的博客
09-15 7471
x64是AMD64Intel64的合称,是指现有x86兼容的64位CPU。在64位系统中,内存地址为64位。x64为环境下寄存器有较大的变化。 x64系统通用寄存器的名称,第1个字母从"E"改为"R"(例如"RAX"), 大小扩展到64位,数量增加了8个(R8~R15), 扩充了8个128位XMM寄存器(在64位程序中,XMM寄存器经常被用来优化代码)。64位寄存器x86下的32位寄存器兼容,例如RAX(64位)、EAX(32位)、AX(低16位)、AL(低8位)、AH(8-15位)x64新扩展的
X64汇编语言指令编码
ComputerInBook的专栏
08-06 6091
X64汇编语言指令编码
X64位-汇编语言-汇编补丁-参数传递-堆栈对齐
插件开发
05-10 2102
文章目录1.32位指令区别2.64位指令文件执行3.64位调用约定4.当调用子函数时,堆栈指针RSP必须在16字节边界对齐上5.子函数开始预留空间计算6.总结   进行任意软件的汇编补丁开发,需要对汇编语言有一定程度的了解,本人在补丁开发过程中,经常遇到各类问题,究其根本还是源于对汇编的一些规则了解不够,本文整理X64汇编,为大家做参考。 1.32位指令区别   64位指令集是在32位指令集上的扩展和发展,EIP扩展为RIP,EFLAGS扩展为RFLAGS。浮点栈寄存器没有变化,多媒体寄存器多个8个寄存器
Intel x86 & x64 汇编指令集(共七卷)
09-27
英特尔最新汇编指令全集,包括32为和64位汇编指南
x64汇编编程
10-26
The purpose of this text is to provide a reference for University level assembly language and systems programming courses. Specifically, this text addresses the x86-641 instruction set for the popular x86-64 class of processors using the Ubuntu 64-bit Operating System (OS). While the provided code and various examples should work under any Linux-based 64-bit OS, they have only been tested under Ubuntu 14.04 LTS (64-bit).
汇编语言深度剖析:x86x64指令集全方位对比应用
![汇编语言深度剖析:x86x64指令集全方位对比... 汇编语言概述架构基础 ## 1.1 汇编语言的起源发展 汇编语言是计算机最早期的编程语言之一,起源于20世纪50年代。它是一种低级语言,机器语言几乎等价,但提供
汇编语言进阶:十进制进制转换的权威指南
本文首先概述汇编语言基础知识和进阶准备,随后深入探讨进制十进制数的原理,及其数学转换基础和进位规则。第三章着重于汇编语言中的数值转换实践,包括汇编代码的编写和调试优化。在第四章中,介绍高效进制...
Windows X64汇编入门
11-27
Windows X64汇编入门 最近断断续续接触了些64位汇编的知识,这里小结一下,一是阶段学习的回顾,是希望对64位汇编新手有所帮助。
x64下实现内嵌汇编
09-02
x64下实现内嵌汇编,不是采用OBJ的模式,直接把汇编转换成机器代码,让后内嵌机器代码,参数传递按照x64约定。
EasyPowoliX64:一个汇编语言模拟器,可以轻松学习!-开源
07-05
这是一个简单形式的汇编程序的简单模拟器。 汇编语言(或汇编语言)是一种用于计算机或其他可编程设备的低级编程语言,其中语言体系结构的机器代码指令之间存在很强的(通常是一对一的)对应关系。 您将使用这种简单的汇编语言形式使用汇编器进行编码。 EPX64 只有十个数据寄存器,没有地址寄存器! 该汇编器模拟现代 64 位 CPU(中央处理单元),具有低级和简单的 RAM(随机存取存储器),最大容量为 128 千字节(131.072 字节)。 内存被分成 16.384 个地址,具有 64 位内存单元(长整数 btw。Int64)。
X64汇编编码参考资料合集
10-24
X64汇编编码参考资料合集,目前市面上主流的资料都有,很详细
Win10_x64_汇编环境.rar
01-24
Win10_x64_汇编环境.rar,包含汇编所需的编译,连接,运行等环境。
汇编语言调试艺术:x86x64架构下的性能分析优化
[汇编语言调试艺术:x86x64架构下的性能分析优化](https://www.toptensoftware.com/blog/content/images/size/w1200/2020/08/temp-5.png) 参考资源链接:[Intel x86 & x64 汇编指令集完整指南]...
iOS逆向工程实践指南:工具使用方法论
IDA对于逆向工程人员来说是必备工具之一,它能够将进制代码转化为汇编语言,便于分析程序的执行流程。 #### 7. LLDB LLDB是Xcode中集成的调试工具,它用于代替GDB,提供了更为强大的调试能力。LLDB不仅可以用来...
x64 逆向工具fdbg0023
08-14
标签“x64汇编”意味着fdbg不仅支持对x86汇编语言逆向分析,还特别强调了对x64汇编的支持。x64汇编是用于编写64位程序的低级语言,32位x86汇编相比,它提供了更大的地址空间和更多的寄存器,这对于处理大数据和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

暮夜--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值