老码识途——1.1反汇编机器码入门

最新推荐文章于 2024-03-30 10:40:41 发布
最新推荐文章于 2024-03-30 10:40:41 发布
阅读量1.8k 收藏 4
点赞数
分类专栏: 老码识途 文章标签: 反汇编 debug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42513339/article/details/109130615
版权

开始学习“老码识途”这本书,希望能有所收获。

目录

测试代码

反汇编

内存观察窗体

修改赋值语句机器码

直接构建新的赋值语句

 

计算机环境Win7 32位
调试环境VS2019 32位

 

 

 

测试代码

单纯在新建工程上加了全局变量

#include <iostream>
int gi;
int main()
{
    gi = 12;
    std::cout << "Hello World!\n";
}

VS快捷键:

F9加断点

F5断点调试

Ctrl+F5 非调试运行,断点无效

 

反汇编

开启位置:调试—窗口—反汇编

可代码处右键勾选“显示代码字节”,去除符号名,得到如下:

反汇编中的结构,以断点这一行为例:mov指令的地址,mov指令的机器码,汇编指令

此时可以检查 gi 的地址,选择调试—窗口—监视,输入 &gi

该地址与反汇编中的地址一致,只是反汇编中加了16进制的h符号;

我们可以拿出move指令的机器码来验证mov指令的相关信息

机器码:C7 05 3C C1 CD 00 0C 00 00 00

赋值的12转成16进制为:0C, 此时可以猜测为机器码的 0C可能是赋值12的意思;

gi变量的地址为:00CDC13C,此时可以拆分 00 CD C1 3C,此时对比可以发现实际
就是机器码中的 3C C1 CD 00,但是是倒过来写的;

而最前面的 C7 05 便是mov的指令,此时可以得到如下结论

C7 05(mov的指令) 3C C1 CD 00(gi变量的地址) 0C 00 00 00(代表值12)

这个机器码从右往左看,最后4个字节倒过来 00 00 00 0c,16进制转成10进制就是12,int类型4个字节,1个字节8位,即2个16进制数;

此时可以发现规律,机器码实际上是倒序的;

实际上这里可以引入一个知识点:

内存中存储整数的规范:

小端机(小端序):低字节存在低地址,高字节存高地址;

大端机(大端序):低字节存在高地址,高字节存低地址;

此时我们可以知道倒序属于小端机,即小端序(Intel x86系列CPU是小端机)

若是大端序,则12的机器码肯定是 00 00 00 0c;

 

内存观察窗体

位置:调试—窗口—内存

在地址栏中输入地址,其值为16进制,输入后下方显示内存面板区,显示的是内存的值左边是内存地址,地址从左到右,从上到下增加,显示单位为字节。

可以输入gi的地址

然后单步执行“gi = 12”;

此时出现了 0c,即赋值为12,但我们并不知道是否修改了4个字节还是只修改了1个字节,此时我们可以使用内存窗体的另一个功能——修改内存的值。

重新执行程序,但断点中断时,将指向的4字节全部修改为11,如下:

然后单步执行 gi = 12,看到内存变化为 0c 00 00 00,所以修改了4个字节。

 

同理,我们可以通过内存窗体来验证 mov指令是否存在反汇编第一列的地址中:

 

修改赋值语句机器码

我们是否可以通过修改内存中的值,从而达到修改指令的效果?

如:修改为: gi = 894567,计算gi的16进制得到:0xda667;

按照上面所说,我们是否可以把mov指令从

C7 05 3C C1 DA 00 0C 00 00 00,改为:

C7 05 3C C1 DA 00 67 a6 0d 00

这里的对应关系可以这么看:

0x 00 0d a6 67

倒序
0x 67 a6 0d 00

可以在VS中修改,步骤:断点到 gi=12,修改mov的内存值

修改完后,按F10单步执行,查看监视窗口的值变化,发现确实是894567;

 

直接构建新的赋值语句

通过上面,我们能否可以抛开C、C++代码,自己构造指令来执行?

实际上,我们可以查看当前寄存器的值,此时需要激活寄存器窗体。(位置:调试—窗口—寄存器)

 

再次断点调试,此时我们可以看到反汇编显示的指令地址是否与EIP寄存器中的值相同。

(EIP寄存器为32位,该寄存器指向哪里,CPU就将该地址作为将执行指令的入口,即使错误的指向了数据区)

 

按F10单步执行,发现下一条指令的地址也是EIP寄存器中的值。

假定我们构造了一段指令,则需要用jmp语句跳转这段指令,执行完后,还需要跳转回来如下,否则会导致不可预料的行为。

因此在构造的新代码中需要构造jmp指令,操作码为 ff 25;

其中C语言程序嵌入汇编方式

载入汇编两种方式:
1._asm{...},在花括号内填写多条汇编语句;
2._asm一条汇编语句,如 “_asm mov eax,1”

看书中例子:

//写机器指令代码
void* buildCode() {

}

int gi;
void main() {
	void* code = buildCode;
	_asm {
		mov address, offset _lb1 //将标签_lb1即下面的_lb1:后语句的地址设定给变量address
        //即printf("02 gi = %d\n", gi);语句的地址
	}
	gi = 12;
	printf("01 gi = %d\n", gi);
	_asm jmp code //执行自己构建的代码
	gi = 13;

_lb1:
	printf("02 gi = %d\n", gi);
	getchar();
}

继续分析 buildCode函数,它要构建的汇编指令如下

mov gi,18;
jmp address

这两条指令的机器码如下,应需要分配16个字节:

引用书中的代码和对应关系,可以很好看出写法

 

chenchen216
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反汇编一个ARM64的机器码
pengdonglin137的专栏
05-07 204
有下面一个机器码:0x929ffee9,如何翻译成汇编呢?
老码识途机器码到框架的系统观逆向修炼之路 pdf及附书代码、工具
09-09
老码识途机器码到框架的系统观逆向修炼之路 pdf及附书代码、工具
逆向汇编与反汇编——汇编基础快速入门
Tandy12356_的博客
06-05 4327
介绍了常用寄存器、汇编指令等基本概念,并详细分析C语言的入口程序
反汇编基础学习(一)
RMC131的博客
11-30 7663
参考教材:《IDA Pro权威指南》(第2版) 编程语言 第一代语言:0和1,十六进制码,也称为机器语言,字节码,机器语言程序常被称为二进制文件 第二代语言:汇编语言,助记符对应具体模式的位模式或操作码 第三代语言:引入了关键字和结构,表达更接近自然语言,常见的C,Java,C++ 需要编译器转换为汇编语言或机器语言 第四代语言:用户定义“做什么”而不是“如何做”,依靠更高级的第四代工具,SQL,QBE 反汇编和反编译 概念 为了回溯编程过程(或对程序进行逆向工程)使用各种反汇编工具撤销汇编和编译过程,
使用ida 对任意一段机器码进行反汇编
Flyour的博客
11-06 7070
有时候我们需要对一段机器码进行反汇编,但这段机器码又不是完整的pe格式,那么我们该如何用ida对其进行反汇编呢? 首先将这段机器码保存为一个二进制的 .exe文件。 这里我们的winhex ,选择对应的块,燃火右键 编辑-&gt;复制选块-&gt;至新文件,保存的时候后缀名设为.exe 。 然后用ida 将其打开 注意这里要选择 binary file 。 选择yes , 我们对其进行32位...
[006] [ARM-Cortex-M3/4] 机器码、汇编与反汇编
柯西的彷徨的博客
03-09 2468
1. **预处理** 使用预处理器把**源文件**`main.c`经过预处理生成`main.i`文件,预处理用于将所有的#include头文件以及宏定义替换成其真正的内容。 2. **编译** 使用编译器将**预处理文件**`main.i`编译成**汇编文件**`main.s`。 3. **汇编** 使用汇编器(keil中为armasm)将**汇编文件**`main.s`转换成**目标文件**`main.o`。 4. **链接** 链接过程使用链接器(keil中为armlink)将该目标文件与
老“码”识途:从机器码到框架的系统观逆向修炼之路
07-22
资源名称:老“码”识途:从机器码到框架的系统观逆向修炼之路内容简介:本书以逆向反汇编为线索,自底向上,从探索者的角度,原生态地刻画了对系统机制的学习,以及相关问题的猜测、追踪和解决过程,展现了系统级...
老码识途-从机器码到框架的系统观逆向修炼之路
09-16
很好的一本书,讲机器到汇编到C语言,还有反汇编
老码识途机器码到框架的系统观逆向修炼之路.pdf
12-30
《老"码"识途:从机器码到框架的系统观逆向修炼之路》以逆向反汇编为线索,自底向上,从探索者的角度,原生态地刻画了对系统机制的学习,以及相关问题的猜测、追踪和解决过程,展现了系统级思维方式的淬炼方法。...
老码识途机器码到框架的系统观逆向修炼之路
11-08
本书以逆向反汇编为线索,自底向上,从探索者的角度,原生态地刻画了对系统机制的学习,以及相关问题的猜测、追踪和解决过程,展现了系统级思维方式的淬炼方法。该思维方式是架构师应具备的一种重要素质。本书内容...
机器码转汇编
Flynn's Blog
09-18 2450
有时候,我们在分析问题的时候,能得到的只有机器码,例如 0f 11 01 4c 03 c1 48 83 c1 10 48 83 e1 f0 4c 2b c1 4d 要分析这段代码,可以找intel的数据手册,然后去解析这句话的意思。不过这样效率太低,我们可以通过如下方式分析。 先把机器码写到文件里 #include <stdlib.h> #include <stdio.h> #include <fcntl.h> #include <unistd.h>
反汇编指令与机器码对照表
07-20
反汇编指令与机器码对照表,按字母排序,有索引,非常方便
新手极速入门反汇编(一)-必须了解的概念
KD的疯狂实验室
05-11 8230
说到反汇编,那什么是汇编(Assembler)呢? 它的别名叫助记符号.顾名思义,它是帮助你记忆的符号.因为机器语言都是0和1组成的,不容易记忆.虽然我们尝试使用BCD码来表示它们.使其更有效率的方式是让具体的运算操作用有明确含义的字符来表示.然后通过查表找到它们对应的关系.反汇编机器码向助记符转换的过程,汇编是用助记符表示机器码的样子. 汇编是干什么用的?汇编(ASM)是一种计算机语
老码识途:从机器码到框架的系统观逆向修炼之路 pdf电子书
花虫专栏
12-17 2877
重要提示尊敬的用户您好,由于老码识途:从机器码到框架的系统观逆向修炼之路pdf书受百度网盘影响无法做公共分享,只能私密分享,有不到之处请多多谅解! 百度网盘链接: http://pan.baidu.com/s/19uGi5  密码: mwbf 内容推荐: 老码识途:从机器码到框架的系统观逆向修炼之路以逆向反汇编为线索,自底向上,从探索者的角度,原生态地刻画了对系统机制的学习,
C语言反汇编入门小知识
qq_35289660的博客
03-11 1494
C语言反汇编入门小知识 文章目录C语言反汇编入门小知识0 . 说明1 . 子函数常识2 . 本机宽度:32位1).函数传参2).局部变量:int型/char型3).局部变量:int型数组/char型数组3 . 64位的数据存储 0 . 说明 ​ 看滴水逆向视频总结笔记 ​ 编译器VC++6.0 ​ 主要总结一些C语言的反汇编常见的点。 1 . 子函数常识 ​ 参数传入堆栈 push eax ca...
16位汇编学习mov指令反汇编
最新发布
weixin_74197261的博客
03-30 306
手册比较简陋,需要自己去写些代码找些规律.
汇编与反汇编入门-X86 AT&T汇编
weixin_44240981的博客
12-09 4609
汇编与反汇编入门
如何把RISC-V的机器指令反汇编为汇编代码
weixin_54430656的博客
07-14 2690
现知道某条 RISC-V (指RV32)的机器指令在内存中的值为 b3 05 95 00(16进制),从左往右为从低地址到⾼地址,单位为字节,那么如何将其翻译为对应的汇编指令?
反汇编快速入门
shark0001的专栏
04-13 1045
反汇编快速入门(2006-12-20 16:40:00)from: http://www.programfan.com/blog/article.asp?id=21749  我从事汇编语言研究大概几年前,因为是我为了开发sepl计算机语言编译器。虽然到现在还没有开发出来,但是已经看到曙光了。为了研究汇编,我从反汇编入手,做了破解,脱壳,调试等。但是汇编对我来
逆向工程揭秘:从机器码到框架的系统观探索
"《老“码”识途:从机器码到框架的系统观逆向修炼之路》是一本深度探讨IT技术的书籍,作者通过逆向反汇编的视角,带领读者自底向上地理解计算机系统的运作机制。这本书旨在培养读者的系统级思维方式,这对于架构师...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值