汇编与易语言

已于 2022-04-14 22:19:32 修改
阅读量4.3k 收藏 15
点赞数
分类专栏: 逆向工程 文章标签: 汇编 易语言
于 2020-03-11 14:20:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012787710/article/details/104781036
版权

一、堆栈结构

在这里插入图片描述

可以看出一个函数局部变量和实参的位置

二、易语言例子解析

带上下文

在这里插入图片描述

00000000 - 60     pushad 
00000001 - 8B 4D 10     mov ecx, dword [ebp+0x10]
00000004 - 8B 7D 08     mov edi, dword [ebp+0x08]
00000007 - 8B 75 0C     mov esi, dword [ebp+0x0C]
0000000A - F3 A4     rep movsb 
0000000C - 61     popad

这里牵涉到其他寄存器,需要保存环境,默认ebp esp 自动还原
pushad是将8个32位寄存器压入栈中,压入的顺序依次为 EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI
popad 相反

带局部变量

在这里插入图片描述

置入代码 ({ 139, 69, 8, 139, 0, 137, 69, 252 })
' mov eax , dword ptr [ebp+08h]  //第一个参数地址赋值给eax
' mov eax , dword ptr [eax]  //把上步骤参数的地址的值取出来
' mov dword ptr [ebp-04h] , eax //再把值传给临时变量ret

这里没看到小数的转换,只是取值而已, 说明类型无关

在这里插入图片描述

无局部变量

在这里插入图片描述

末尾的返回值无效的,只是为了保证编辑器语法通过,可以任意值
这里没有后面的俩个ret

在这里插入图片描述

三、易语言进阶例子

数据8字节的(长整数,双精度浮点数)

在这里插入图片描述

置入代码 ({ 139, 69, 8, 255, 48, 143, 69, 248, 255, 112, 4, 143, 69, 252 })
' mov eax , dword ptr [ebp+08h]  ’第一个参数翻入eax
' push dword ptr [eax]  把参数所指的值并入栈 4个字节 低位
' pop dword ptr [ebp-08h] 把参数的值赋值给第二个局部变量
' push dword ptr [eax+04h]  4个字节 高位
' pop dword ptr [ebp-04h]   高位对应局部变量高位

在这里插入图片描述

末尾多俩个ret指令,无用,但看着别扭
低地址存低位,高地址存高位,栈是往低地址扩展的
从汇编看这个函数stdcall调用方式

四、c/c++例子

__cdecall:参数右到左入栈,调用方维持堆栈平衡(默认)
__stdcall:参数右到左入栈,被调用方堆栈平衡

SS:stack segment register 栈段暂存器
SP:stack pointer 栈指针

在VS编辑器中中堆栈会自动帮你配平衡,只需要关键汇编代码,比如下例子
eax保存函数返回值,edx保存高位

无局部变量

int  add(int a, int b)
{
	_asm
	{
		mov eax, dword ptr[ebp + 08h]  //第一个参数
		add eax, dword ptr[ebp + 0Ch]  //第二个参数,堆栈的地址高到低,先入栈
	}
	//return (a + b);//K&R推荐return都打括号
}

标准调用方式

int __stdcall add(int a, int b)
{
	_asm
	{
		mov eax, dword ptr[ebp + 08h]
		add eax, dword ptr[ebp + 0ch]
	}
	//return (a + b);//K&R推荐return都打括号
}

在这里插入图片描述

RETN 8看到没,被调用方维持堆栈平衡,2个参数8个字节

c调用方式

int  add(int a, int b)
{
	//int c = 10;
	_asm
	{
		mov dword ptr[ebp - 04h], 10
		mov eax, dword ptr[ebp + 08h]
		add eax, dword ptr[ebp + 0ch]
		add eax, dword ptr[ebp -04h]
	}
	//return (a + b + c);//K&R推荐return都打括号
}

在这里插入图片描述

数据8字节的(长整数,双精度浮点数)


long long add(long long a, long long b)
{
	return (a + b);//K&R推荐return都打括号
}

long long 是8个字节,低位低位相加,高位高位相加
在这里插入图片描述
增加一个临时变量

long long  add(long long a, long long b)
{
	long long c = 10L;
	return (a + b + c);//K&R推荐return都打括号
}

在这里插入图片描述

五、相关指令

leave 指令

等价于

	mov esp, ebp
	pop ebp

call 指令

1、段内转移的CALL指令等价于:
  push eip
  jmp   目的位置
2、段间转移的CALL指令等价于:
  push CS
  push eip
  jmp   目的位置

RETN/RETF 指令

RETN指令用于从段内CALL;
RETF指令用于从段间CALL。

俩种格式:
RETN/RETF
RETN/RETF 操作数

RETN等价于:POP   eip
RETF等价于:
POP   eip
POP   CS
而带有操作数的RETN/RETF指令则是在POP之后,执行ESP=ESP+操作数

六、总结

1、汇编指令结合od ,分析了易语言中的置入代码.
2、VS编辑器内联汇编分析c/c++代码, 快捷键alt +8 查看反汇编窗口.
3、坑就是VS编译要禁止优化, od出现大量db时, 删除分析即可
终于完结了, 通过实践果然对汇编与内存的印象更加深刻~

七、相关文档

通用32位CPU 常用寄存器及其作用

骇客之技术
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
c 易语言置入代码6,易语言置入代码动态版
weixin_39839478的博客
05-21 1447
易语言置入代码动态版@轻飘飘的风.版本 2.支持库 spec.程序集 程序集.子程序 _启动子程序, 整数型写到文件 (“代码数据.bin”, { 139, 69, 8, 137, 236, 93, 194, 4, 0 })' mov eax,[ebp+8]' mov esp,ebp' pop ebp' retn 4输出调试文本 (指针到整数 (取变量地址_ (123123123)))调试输出 (...
易语言-易语言里面直接写汇编
06-29
//这里以技巧为例 不再多加一个支持库 //呵呵,还可用来取变量地址呢 //两个例子 使用的API CallWindowProcA //例1 取变量地址 mov eax,[ebp+c];   //第二组参变量ebp+c 往后类推 ret;               // API返回值为eax此时的eax是参数2传入的变量地址  参数                      //一不要使用因为参1是我们要运行的代码 //例二 给参赋值,并取回变量地址 mov eax,[ebp+12];  //先把返回值搞定 mov dword [eax],10;//这里给我们的变量设成10 ret;               //一定要ret不然程序不知道往那走了 //好了这里描述了整个动态装入过程,其实就是解析成字节集,然后装入变量(内存中)然后调用就可以啦
易语言字节集转汇编源码-易语言
06-13
易语言字节集转汇编源码
易语言源码易语言置入代码内联汇编源码.rar
02-21
易语言源码易语言置入代码内联汇编源码.rar 易语言源码易语言置入代码内联汇编源码.rar 易语言源码易语言置入代码内联汇编源码.rar 易语言源码易语言置入代码内联汇编源码.rar 易语言源码易语言置入代码内联汇编源码.rar 易语言源码易语言置入代码内联汇编源码.rar
汇编指令retn和retn x的区别
最新发布
m0_47587308的博客
01-18 465
的使用取决于函数调用约定和参数的传递方式。有些函数调用约定要求调用者清理栈上的参数,而有些则由被调用函数负责。因此,具体的使用方式取决于你的编程环境和约定。参考资料:https://blog.csdn.net/q873412892/article/details/121205493。指令用于从子过程(或函数)返回,但它们之间有一些区别。
易语言远程线程调用/汇编操作源码
09-23
易语言远程线程调用/汇编操作源码 解决易语言没有内联汇编的烦恼! .版本 2 .支持库 spec .子程序 _按钮_本地调用_被单击 .局部变量 clsAsm, clsASM .局部变量 Code, 字节集 clsAsm.Mov_ECX (取子程序地址 (&子程序1)) clsAsm.Call_ECX () clsAsm.Ret () Code = clsAsm.Get_Code () 调用子程序 (取变量数据地址 (Code), , , )
易语言置入代码内联汇编源码
06-06
易语言置入代码内联汇编源码。@易语言学习论坛。
易语言置入代码内联汇编源码.7z
05-13
易语言置入代码内联汇编源码.7z
易语言远程x64位汇编call技术
hzw320的博客
08-23 7022
易语言x64位调用call函数技术 上两篇易语言对x64位进程操作的技术贴发出后,因为得知我们 Game-Ec 驱动模块8.5.3里 开发了对x64程序进程里的模块,API取地址,内存读写,内存搜索,函数hook,call函数调用等诸多命令功能后,很多写64位游戏辅助的学员激动不已。 因为这些功能预示着写64位游戏辅助不用换其他语言来写了,有了这次版本里加入的各种x64功能,易语言可以完美的开发64位游戏内存辅助了,因为可以读写内存数据,可以HOOK,可以内存搜索,最关键的是还可以远程调用x64程序进程里的
易语言-易语言源码转成汇编代码
06-25
指定条件下将易源码直接转换为易10进制机器码 用寻找字节集,取字节集中间,即可取指定易语言源码中的10进制机器码
易语言写x64位文本汇编call代码
hzw320的博客
09-07 4042
用文本方式写汇编,在8.5.3版本新模块里加入了:x64汇编_加入() 这个命令,可以写64位汇编更简洁方便直观,这样一来就跟以前我们写32位游戏汇编代码一样方便快捷了 非常方便的让易语言写64位汇编代码,以上演示了可以在汇编代码中与,参数,变量,常量的值进行连接,方便更新辅助基地址和call或者参数值。 原链接下载:http://bbs.dult.cn/forum.php?mod=viewthread&tid=24072 ...
易语言-WonderWall Plus支持库,支持全局变量的内联汇编
06-28
特别声明:只支持5.11版本的易语言 +加入内联支持全局变量(单行) +模块快捷添加 +DLL编译,导出函数支持nake处理(在源文件目录下新建一个和源文件同名+_nake.ini 的文件,内容是需要处理的函数名称) *改变调用内联汇编模块Fasm方式,方便更新Fasm.dll随时替换 在原有WonderWall基础上扩展,这里感谢baby的无私! 使用方法:按解压后文件结构复制到易安装目录. +调试信息长度去除限制,以前输出信息太多会被自动清空。 +源文件名+_Command.ini 可以定义编译参数,格式如下 [linker] extra_args= /MAP ;  extra_args用于指定附加给链接器的额外参数。默认为空。/NOD:libc.lib /BASE:0x13140000 /DEBUG /PDB:none ;  VS2010编译器 要想基址固定,在链接器中去掉/DYNAMICBASE加上/FIXED +源文件名+.def 放置到源码目录,可以改变导出函数序号,exe也能导出函数 +输出链接命令行参数 +增加编译时显示等待信息框,方便改变链接时候修改链接的文件,如.def .obj这些 +修正Win10系统中输入时输入法窗口不在光标位置的问题
易语言置入代码内联汇编
07-23
易语言置入代码内联汇编源码,置入代码内联汇编,减法1,加法1,乘法1,除法1
通用哈希表,简化操作和函数,修复原版内存泄露-易语言
06-11
通用型哈希表,最早发出的哥们儿已经不知去向(感谢他),目前的更新和优化好像都是酷宝贝在做,不过我经常要导入模块,所以一直想用一个不需要类直接复制粘贴程序集就能用的版本,经过一段时间打磨,总算自己写了一个,调试过程还是有不少曲折的,但是考虑到 易语言 都过了二十年了,知名度依旧不高,所以没什么好吝啬的,分享出来,人海茫茫,你能碰到的都是兄弟,不是竞争对手。 碰巧写TCP组包,考虑用哈希表存储数据,这也引出了 将原先的哈希读写拆分出 取指针 和 指针操作  的需求。 这个程序集的特点: ' 分层次展现 ' 中文函数(公开)为哈希表主要函数 ' 中文函数(未公开)为哈希表扩展功能函数 ' 英文函数为独立的工具函数 ' 带_的英文函数是哈希表的附属函数 ' 1.对于取 哈希值的算法 进行了扩展,变成4种 ' 2.增加了 CRC32_PTR 汇编算法,使用查表方式计算,速度与按字节计算的传统哈希相近,比RtlComputeCrc32快且兼容性强,比传统的哈希算法碰撞率低 ' 3.增加了 hash_PTR 汇编算法,按字节计算哈希结果和之前一样,按字和按3字计算可用于文本key(但要注意对齐,比如Unicode是字对齐) ' 4.增加了 哈希_更改  子程序,这是 将key作为handle使用,用于快速管理资源 的一种理解方式 ' 5.在哈希取值之前分离出 哈希_取指针 ,返回数据的内存地址,同时让哈希_取值命令更加简单易读 ' 6.增加了 取素数不小于 的函数,用于创建和扩展链表,最早的创建方式不科学,遇到有规律的数会产生严重碰撞 ' 7.修复了内存泄露的bug,具体位置在 哈希_添加 中找到相同key数据之后,补充了heapfree命令 ' 8.更改取值方式,这个我看到酷宝贝也改了,取值直接返回指针,而不是再度申请内存(该操作同样会泄露) 阐述一下CRC32_PTR,综合考量了 速度、资源占用 ,将表作为数据置入,用CALL/POP取出,比API快,已对比过各易论坛、资源网、目前是最快最稳定的,欢迎高手拍砖!
哈希表类_汇编版(HashMap_ASM) 支持自定义数据值-易语言
06-14
说明: 1. 采用的 数组+链表 的结构设计,主要功能是由C++根据易的类结构进行编写,编译后获取汇编代码给易调用,与易的类无缝衔接。 2.键支持:文本型、字节集型、整数型、长整数型 3.值支持:文本型、字节集型、整数型 、长整数型、短整数型、小数型、双精度小数型、日期时间型、逻辑型 、自定义数据类型 4. 非线程安全,多线程需要加锁. 5. CPU至少要支持SSE2指令集. 测速图: CPU: 4790K 系统: windows server 2019 类功能: 2.4版(2019.12.16) 1) 优化 内部添加内存池,使用私有堆申请内存时改为内存池来分配内存,添加() 和 载入表() 性能得到显著提升。
易语言-winhttpapi 哈希配置 汇编应用功能 全部开源
07-02
WinHttp API 类 1.按照方法类,使用方便 2.效率比winnet高,同精易访问_网页S比较效率提升50% 同winhttpapi访问后处理数据上处理方式进行优化,节省CPU耗时,附件里已经写好测速 3.同精易访问_网页S解决无法POST问题,超时后内存溢出问题 4.winhttp也支持下载,已经写好下载例程,支持缓存写出磁盘(减少磁盘重复写出) 5.Cookie处理方式调用哈希内存配置 支持自动也可以手动,可以同步IECookie 使浏览框也同步Cookie 6.网页类里附有编解码URL,汇编+API效率非常高 800W文本长度2秒编码,800W post是不太可能,一般都是0ms编码 哈希配置类 1.哈希对象,几行代码 2.无需遍历搜索匹配节名和项值 高速项名和项值添加修改读取,同数组相比数据越大,效率差距越大 解决不同节名添加耗时问题,性能完全胜过数组,哈希如此强大 3.测速已经写好例程,可以自行测速 三叶资源网
清风汇编源码(易语言 )
03-30
易语言 清风汇编源码,汇编源码
易语言汇编模块
08-16
易语言汇编模块源码 系统结构:GlobalAlloc, ======程序集1 | | | |------ _启动子程序 | | | |------ _指针到文本 | | | |------ _取指针文本长度 | | | |------ _取文本型指针 | | | |------ _取字节集指针 |
易语言汇编远程执行模块
08-16
易语言汇编远程执行模块源码 系统结构:申请远程内存,字集远程写入,字集倒转,汇编远程执行,开始Virus,结束Virus,VirtualAllocEx,GetCurrentProcessId,OpenProcess,CloseHandle,RtlZeroMemory,运行汇编代码_,
易语言汇编asm读写
12-22
易语言是一种基于汇编语言进行封装的高级编程语言,因此可以通过易语言进行汇编语言的读写操作。在易语言中,可以使用内建的汇编语言函数以及相关的系统调用来进行汇编语言的读写操作。 在易语言中,可以使用内建的文件操作函数来对汇编语言文件进行读写操作。通过使用文件操作函数,可以打开、读取、写入、关闭汇编语言文件,实现对文件内容的读写操作。此外,还可以使用内建的网络操作函数来进行汇编语言的网络读写操作,比如进行socket通信等。 除此之外,还可以直接在易语言中通过调用汇编语言的系统调用来进行读写操作。通过在易语言中嵌入汇编语言的代码,可以实现对底层系统进行直接的读写操作,包括读写内存地址、访问硬件接口等。这种方式可以实现对汇编语言的更加灵活和底层的控制。 总之,通过易语言可以实现对汇编语言的读写操作,既可以使用内建的文件操作和网络操作函数,也可以直接嵌入汇编语言的代码来进行底层的读写操作。这些方法可以满足不同的需求,使得在易语言中进行汇编语言的读写操作变得更加方便和灵活。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

骇客之技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值