mov eax, dword ptr [esi]指令区别

最新推荐文章于 2022-01-16 20:22:43 发布
最新推荐文章于 2022-01-16 20:22:43 发布
阅读量1w 收藏 6
点赞数 4
分类专栏: 汇编 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianxiajianling/article/details/7602671
版权

mov eax,esi 

将esi中的数据传送到eax中


mov eax,[esi] 

esi中是地址,将内存中该地址的数据传送到eax中,也就是间接寻址


mov eax, dword ptr [esi] 

dword表示的是双字,四字节。esi中保存的是为内存中的地址。将该地址处的4字节数据传送到eax中。

tianxiajianling
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android 脱壳视频教程
09-27
首先,查壳,使用PEID或者是FI,为UPX v1.08 接下来用OD载入,提示为“压缩代码是否继续分析”,我们选择否 我在这里介绍几种方法,请看我的操作。 方法1:单步跟踪(最常见的方法) 0040E8C0 N> 60 pushad //停在这里了,我们F8单步 0040E8C1 BE 15B04000 mov esi,NOTEPAD.0040B015 0040E8C6 8DBE EB5FFFFF lea edi,dword ptr ds:[esi+FFFF> 0040E8CC 57 push edi 0040E8CD 83CD FF or ebp,FFFFFFFF 0040E8D0 EB 10 jmp short NOTEPAD.0040E8E2 //跳 。。。。。。。。。。 0040E8E2 8B1E mov ebx,dword ptr ds:[esi] //跳到这里,继续单步 0040E8E4 83EE FC sub esi,-4 0040E8E7 11DB adc ebx,ebx 0040E8E9 ^ 72 ED jb short NOTEPAD.0040E8D8 //这里要往回跳了 0040E8EB B8 01000000 mov eax,1 //F4,然后继续F8 0040E8F0 01DB add ebx,ebx 0040E8F2 75 07 jnz short NOTEPAD.0040E8FB //跳 。。。。。。。。。。。 0040E8FB 11C0 adc eax,eax //来到这里,F8继续 0040E8FD 01DB add ebx,ebx 0040E8FD 01DB add ebx,ebx 0040E8FF ^ 73 EF jnb short NOTEPAD.0040E8F0 0040E901 75 09 jnz short NOTEPAD.0040E90C //跳 。。。。。。。。。。。 0040E90C 31C9 xor ecx,ecx //跳到这里,继续F8 0040E90E 83E8 03 sub eax,3 0040E90E 83E8 03 sub eax,3 0040E911 72 0D jb short NOTEPAD.0040E920 //跳 。。。。。。。。。。。 0040E920 01DB add ebx,ebx //跳到这里,继续F8 0040E922 75 07 jnz short NOTEPAD.0040E92B //跳 。。。。。。。。。。。 0040E92B 11C9 adc ecx,ecx //跳到了这里,继续F8 0040E92D 01DB add ebx,ebx 0040E92F 75 07 jnz short NOTEPAD.0040E938 //跳 。。。。。。。。。。。 0040E938 11C9 adc ecx,ecx //跳到这里,继续F8 0040E93A 75 20 jnz short NOTEPAD.0040E95C //跳 。。。。。。。。。。。 0040E95C 81FD 00F3FFFF cmp ebp,-0D00 //来到这,继续F8 0040E962 83D1 01 adc ecx,1 0040E965 8D142F lea edx,dword ptr ds:[edi+ebp] 0040E968 83FD FC
汇编语法与实例 解释: mov eax, dword ptr [728C6C]
05-28 4924
mov eax, dword ptr [728C6C]是把内存地址728C6C中的DWORD(32位)数据赋给eaxeax 00424750 ASCII "218"是提示你如果把eax的值作为内存地址来看,该内存中储存着“218”这个字符串
易语言HOOK征途实现拦截系统公告
12-30
HOOK征途实现拦截系统公告 语音视频下载地址 http://115.com/file/cly4tyga .版本 2 .子程序 _窗口1_创建完毕 .局部变量 tmp, 整数型 窗口1.标题 = 取执行文件名 () Process = GetCurrentProcessId () ' 004A31D7 E8 F4D30700 CALL zhengtu.005205D0 游戏公告显示的call地址 原始数据 = 读整型内存 (Process, 4862424) ' 读取E8 后面的call地址机器码 E8占一个字节 所以读取我们加上1(就是004A31D7+1) 也就是 005205D0 这个机器码 hook函数地址 = 到整数 (&hook;) ' 取出hook这个子程序的地址 tmp = hook函数地址 + 4 ' hook子程序地址 + 4 ' '''''''''''''''''''''''''''''''''解释下为什么加4 ' '''''这个是hook子程序原型 ' 008715D7 >/$ 56 PUSH ESI hook 子程序地址 ' 008715D8 |. 57 PUSH EDI ' 008715D9 |. 53 PUSH EBX ' 008715DA |. E8 09FBFFFF CALL ye_cat.008710E8 +4 来到 E8(008715D7+4),把E8不算进去 这里读取到这个call的机器码之后 下面换算出这个call地址(008710E8) ' 008715DF |. 5B POP EBX ' 008715E0 |. 5F POP EDI ' 008715E1 |. 5E POP ESI ' 008715E2 \. C3 RETN ' '''''''''''''''''''''''''''''''''''''''''''''''''call 008710e8 内部代码 也就是hook这个子程序的核心 ' 008710E8 /$ 55 PUSH EBP 'hook这个call的开始,系统自动分配了堆栈 ' 008710E9 |. 8BEC MOV EBP,ESP ' 008710EB |. 81EC 08000000 SUB ESP,8 ' 008710F1 |. C745 FC 00000>MOV DWORD PTR SS:[EBP-4],0 ' 008710F8 |. 53 PUSH EBX '这个是我们用内联写的(我们要让游戏里面公告的call直接call我们这个地址(call 008710F8)) 游戏里面原来call内部代码就是这样子的(游戏call内部代码我也贴出来了 在底下) ' 008710F9 |. 8B9C24 080000>MOV EBX,DWORD PTR SS:[ESP+8] '存放公告内容的地址 ' 00871100 |. 55 PUSH EBP ' 00871101 |. 56 PUSH ESI ' 00871102 |. 57 PUSH EDI ' 00871103 |. 899D FCFFFFFF MOV DWORD PTR SS:[EBP-4],EBX ‘传给我们申请的局部变量([ebp-4]表示第一个局部变量) Str ' 00871109 |. 68 808A8D00 PUSH ye_cat.008D8A80 ; ASCII "\r\n" ' 0087110E |. FF75 FC PUSH DWORD PTR SS:[EBP-4] ' 00871111 |. B9 02000000 MOV ECX,2 ' 00871116 |. E8 71FFFFFF CALL ye_cat.0087108C ' 0087111B |. 83C4 08 ADD ESP,8 ' 0087111E |. 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX ' 00871121 |. 68 04000080 PUSH 80000004 ' 00871126 |. 6A 00 PUSH 0 ' 00871128 |. 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8] ' 0087112B |. 85C0 TEST EAX,EAX ' 0087112D |. 75 05 JNZ SHORT ye_cat.00871134 ' 0087112F |. B8 838A8D00 MOV EAX,ye_cat.008D8A83 ' 00871134 |> 50 PUSH EAX ' 00871135 |. 68 05000100 PUSH 10005 ' 0087113A |. 68 09000116 PUSH 16010009 ' 0087113F |. 68 06000152 PUSH 52010006 ' 00871144 |. 68 02000000 PUSH 2 ' 00871149 |. BB D0198700 MOV EBX,ye_cat.008719D0 ' 0087114E |. E8 DF040000 CALL ye_cat.00871632 ' 00871153 |. 83C4 1C ADD ESP,1C ' 00871156 |. 8B5D F8 MOV EBX,DWORD PTR SS:[EBP-8] ' 00871159 |. 85DB TEST EBX,EBX ' 0087115B |. 74 09 JE SHORT ye_cat.00871166 ' 0087115D |. 53 PUSH EBX ' 0087115E |. E8 D5040000 CALL ye_cat.00871638 ' 00871163 |. 83C4 04 ADD ESP,4 ' 00871166 |> 5F POP EDI ' 00871167 |. 5E POP ESI ' 00871168 |. 5D POP EBP ' 00871169 |. 5B POP EBX ' 0087116A \. C2 1400 RETN 14 //////////////////////////////////////////////////////////////// call目的地地址 = 读整型内存 (Process, tmp) call目的地地址 = call目的地地址 + tmp + 5 + 15 ' 取得hook子程序里面 push ebx 的内存地址 为了不出错所以和游戏里面一样 不能从hook这个子程序头部开始调用 所以我加上相应的偏移(18)得到 push ebx的地址 ' '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ' '''''''''游戏原来call的原型 ' 005205D0 /$ 53 PUSH EBX ' 005205D1 |. 8B5C24 08 MOV EBX,DWORD PTR SS:[ESP+8] ' 005205D5 |. 55 PUSH EBP ' 005205D6 |. 56 PUSH ESI ' 005205D7 |. 8B7424 14 MOV ESI,DWORD PTR SS:[ESP+14] ' 005205DB |. 83FE 03 CMP ESI,3 ' 005205DE |. 57 PUSH EDI ' 005205DF |. 8B7C24 1C MOV EDI,DWORD PTR SS:[ESP+1C] ' 005205E3 |. 8BE9 MOV EBP,ECX ' 005205E5 |. 74 05 JE SHORT zhengtu.005205EC ' 005205E7 |. 83FE 04 CMP ESI,4 ' 005205EA |. 75 11 JNZ SHORT zhengtu.005205FD ' 005205EC |> 8B0D 98B3CA00 MOV ECX,DWORD PTR DS:[CAB398] ' 005205F2 |. 85C9 TEST ECX,ECX ' 005205F4 |. 74 07 JE SHORT zhengtu.005205FD ' 005205F6 |. 57 PUSH EDI ' 005205F7 |. 53 PUSH EBX ' 005205F8 |. E8 43092000 CALL zhengtu.00720F40 ' 005205FD |> 8B4424 24 MOV EAX,DWORD PTR SS:[ESP+24] ' 00520601 |. 8B4C24 20 MOV ECX,DWORD PTR SS:[ESP+20] ' 00520605 |. 50 PUSH EAX ' 00520606 |. 51 PUSH ECX ' 00520607 |. 57 PUSH EDI ' 00520608 |. 56 PUSH ESI ' 00520609 |. 53 PUSH EBX ' 0052060A |. 8BCD MOV ECX,EBP ' 0052060C |. E8 CFF6FFFF CALL zhengtu.0051FCE0 ' 00520611 |. 5F POP EDI ' 00520612 |. 5E POP ESI ' 00520613 |. 5D POP EBP ' 00520614 |. 5B POP EBX ' 00520615 \. C2 1400 RETN 14 /这个call 5个参数
微信3.4.5.27-10个信息CALL.txt
12-27
1.二维码获取: HOOK:5D940000+20517A 5DB4517A CALL:5D940000+636CF0 特征码:FF 30 E8 ?? ?? ?? ?? -------------------------------------------------------------- 5DB4514F CC int3 5DB45150 55 push ebp 5DB45151 8BEC mov ebp,esp 5DB45153 56 push esi 5DB45154 68 D8F3415F push WeChatWi.5F41F3D8 5DB45159 8BF1 mov esi,ecx 5DB4515B E8 20F6FFFF call WeChatWi.5DB44780 5DB45160 68 9CB9395F push WeChatWi.5F39B99C ; @memo: 5DB45165 8BCE mov ecx,esi 5DB45167 E8 14F6FFFF call WeChatWi.5DB44780 5DB4516C 8B45 08 mov eax,dword ptr ss:[ebp+0x8] 5DB4516F 8D8E BC0A0000 lea ecx,dword ptr ds:[esi+0xABC] 5DB45175 FF70 04 push dword ptr ds:[eax+0x4] 5DB45178 FF30 push dword ptr ds:[eax] 5DB4517A E8 711B4300 call WeChatWi.5DF76CF0 ; 二维码HOOK地址 5DB4517F 5E pop esi 5DB45180 5D pop ebp 5DB45181 C2 0400 retn 0x4 -------------------------------------------------------------- 2.微信头像 HOOK:5D940000+4398FA 5DD798FA CALL:5D940000+8AD60
汇编计时器,可用于游戏应用层防止加速,可根据CPU频率校验各种winapi计时器,通过平均差值判断加速行为
微码信息
11-16 2632
__declspec(naked) BOOL __stdcall GetInterruptTime(PULONGLONG UnbiasedInterruptTime) { __asm{ mov edi,edi; push ebp; mov ebp,esp; push ecx; push ecx; mov edx,dword ptr ss:[ebp+0x8]; test edx,edx; je LERROR; push ebx; push esi; push edi; LBG: mov esi,dword
linux edi esi eax 汇编指令,汇编指令集-zwei-wuwen-ChinaUnix博客
weixin_32271623的博客
05-13 616
汇编指令集1. 通用数据传送指令.MOV 传送字或字节.MOVSX 先符号扩展,再传送.MOVZX 先零扩展,再传送.PUSH 把字压入堆栈.POP 把字弹出堆栈.PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈.PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈...
第十五课_几条汇编指令
ELaXiaoSi的博客
10-26 2107
前言 上一节说了,内存的读写。这样就可以讲几条汇编指令了。mov、add、sub、and、or、xor、not共7条汇编指令,会把每条指令的使用范围说清楚,可能比较枯燥。 先说明几个标记符号吧。只是为了后面方便写。 r:通用寄存器(register) m:内存(memory) imm:立即数(immediate) r、m、imm这三个后面加数字,那么这个数字表示多少位。例如:r8:表示8位的寄存器。m32:表示32位的内存。imm16:表示16位的立即数。 mov指令 mov指令之前就.
汇编笔记5
qq_63698077的博客
01-16 580
1.内存地址五种形式 (1)形式1【立即数】 例子 1)读取内存值 MOV EAX,DWORD PTR DS:[0x13FFC4] 2)向内存写入数据 MOV DWORD PTR DS:[0X13FFC4],EAX (2)形式2【reg】reg代表寄存器8个通用寄存器任意一个 1)读取内存的值 MOV EAX,DWORD PTR DS:[ECX] 注:EAX中立即数及是地址 2)向内存写值 MOV DWORD PTR DS:[EAX],立即数 注:EAX中立即数及是地址 (3)形式3
【2020.11.14】在汇编中内存地址的五种形式
oalken的博客
12-21 1120
形式一:立即数 读取内存的值: MOV EAX, DWORD PTR DS:[0X13FFC4] 向内存中写入数据: MOV DWORD PTR DS:[0X13FFC4], EAX 形式二:[REG] REG代表寄存器只能是8个通用寄存器中的任意一个 读取内存的值: MOV EAX, 0x13FFD0 MOV EAX, DWORD PTR DS:[ECX] 向内存中写入数据: MOV EDX, 0x13FFD8 MOV DWORD PTR DS:[EDX], 0x876...
【转载】函数返回结构体的内幕,大神讲解的非常精辟了
qq_27763933的博客
06-03 1430
在刚接触C语言编程时,无论是前辈还是教科书,都反复告诫我们两件事: ①函数的参数是值传递(意味着在函数中对参数本身的修改无法“传回”); ②不要返回函数体内局部变量的地址,因为函数结束时栈会回收,局部变量也随之销毁(如果局部变量为类对象,其析构函数会被自动调用),但可以返回局部变量本身。 那么如果一个函数的返回值为结构体类型,其返回值是如何“返回”的呢? 是通过“值传递”吗?我们知道函数参数的值传递,就是将参数入栈(因此参数有自己的一份拷贝,函数中对参数的操作其实操作的就是这份拷贝)。而函数结.
指令技术(chm格式)
09-24
mov eax,dword ptr ds:[esi] //产生异常 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ push ******** mov eax,dword ptr fs:[0] push eax mov dword ptr fs:[0],esp mov ebx,0 div ebx ~~~~~~~~~~~~~~~~~~~~~~~~...
e语言-易语言汇编替换字节集
08-23
--------------------------------------------------------mov eax, dword ptr [ebp 10h] 计算ebp 10h字节集指针mov eax, dword ptr [eax] 计算ebp 10h字节集指针add eax, 08h 计算ebp 10h字节集指针mov esi, ...
易语言-易语言汇编替换字节集
06-29
--------------------------------------------------------mov eax, dword ptr [ebp+10h] 计算ebp+10h字节集指针mov eax, dword ptr [eax] 计算ebp+10h字节集指针add eax, 08h 计算ebp+10h字节集指针mov esi, ...
rep movs dword ptr es:[edi], dword ptr [esi] 这种是什么意思
热门推荐
tianxiajianling的专栏
06-01 1万+
循环从esi指向的内存区域复制数据到edi处的内存区域,复制ecx次,每次是一个DWORD
OllyDBG使用
tianxiajianling的专栏
07-30 6206
OllyDBG基本操作 1)        查找调用的API 函数。在 OllyDBG 的反汇编窗口中右击鼠标,在弹出菜单中选择 查找->当前模块中的名称 (标签),或者我们通过按 CTR+N 组合键也可以达到同样的效果,界面输入可搜索。右键菜单可下断点 2)        查找引用字符串。反汇编窗口中右击,出来一个菜单,我们在 查找->所有参考文本字串 上左键点击 3)
node-v9.6.0-x86.msi
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统中某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常
JavaScript前端开发的核心语言前端开发的核心语言
最新发布
04-29
javascript 当今互联网时代,JavaScript已经成为了前端开发的核心语言它是一种高级程序设计语言,通常用于网页的交互和动态效果的实现。JavaScript的灵活性以及广泛的使用使得它变得异常重要,能够为用户带来更好的用户体验。 JavaScript的特点之一是它的轻量级,它可以在网页中运行无需单独的编译或下载。这意味着网页可以更快地加载并且用户无需安装额外的软件才能运行网页上的JavaScript代码。此外,与HTML和CSS紧密结合,可以直接在HTML文档中嵌入,使得网页的开发变得非常便捷。 JavaScript具有动态性,它可以在浏览器中实时修改页面内容和样。它可以通过操作DOM(文档对象模型来动态地修改网页的结构和布局,并且可以根据用户的行为实时地响应各种事件,如点击、标悬停、滚动等。这使得开发者可以轻松地为网页添加交互性和动态效果,提供更好的用户体验。 JavaScript也是一种面向对象的语言。它支持对象、类、继承、多态等面向对象编程的概念,使得代码结构更加清晰和可维护。开发者可以创建自定义的对象和方法,对功能进行封装和复用,提高代码的可读性和可维护性。
将以下子程序反汇编的每一层说明解释:00401020 push ebp 00401021 mov ebp,esp 00401023 sub esp,40h 00401026 push ebx 00401027 push esi 00401028 push edi 00401029 lea edi,[ebp-40h] 0040102C mov ecx,10h 00401031 mov eax,0CCCCCCCCh 00401036 rep stos dword ptr [edi] 9: 10: return a*a+b*b; 00401038 mov eax,dword ptr [ebp+8] 0040103B imul eax,dword ptr [ebp+8] 0040103F mov ecx,dword ptr [ebp+0Ch] 00401042 imul ecx,dword ptr [ebp+0Ch] 00401046 add eax,ecx 11: 12: } 00401048 pop edi 00401049 pop esi 0040104A pop ebx 0040104B mov esp,ebp 0040104D pop ebp 0040104E ret
06-07
这段代码是一个带有参数的函数,函数的返回值是 a*a+b*b。以下是每条指令的解释: 00401020 push ebp ; 保存当前栈底指针 00401021 mov ebp,esp ; 设置新的栈底指针 00401023 sub esp,40h ; 为局部变量分配空间 00401026 push ebx ; 保存 ebx 寄存器的值 00401027 push esi ; 保存 esi 寄存器的值 00401028 push edi ; 保存 edi 寄存器的值 00401029 lea edi,[ebp-40h] ; 将 edi 寄存器设置为局部变量的地址 0040102C mov ecx,10h ; 将 ecx 寄存器设置为 16 00401031 mov eax,0CCCCCCCCh; 将 eax 寄存器设置为 0xcccccccc 00401036 rep stos dword ptr [edi] ; 将 dword ptr [edi] 的值设置为 eax,重复 ecx 次,即初始化局部变量为 0xcccccccc 9: 10: return a*a+b*b; 00401038 mov eax,dword ptr [ebp+8] ; 将 eax 寄存器设置为函数参数 a 的值 0040103B imul eax,dword ptr [ebp+8] ; 将 eax 寄存器与函数参数 a 的值相乘 0040103F mov ecx,dword ptr [ebp+0Ch] ; 将 ecx 寄存器设置为函数参数 b 的值 00401042 imul ecx,dword ptr [ebp+0Ch] ; 将 ecx 寄存器与函数参数 b 的值相乘 00401046 add eax,ecx ; 将 eax 寄存器与 ecx 寄存器的值相加,即计算 a*a+b*b 11: 12: } 00401048 pop edi ; 恢复 edi 寄存器的值 00401049 pop esi ; 恢复 esi 寄存器的值 0040104A pop ebx ; 恢复 ebx 寄存器的值 0040104B mov esp,ebp ; 恢复栈顶指针 0040104D pop ebp ; 恢复栈底指针 0040104E ret ; 返回 a*a+b*b 的值

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值