171231 逆向-64位系统

最新推荐文章于 2023-02-20 18:06:11 发布
最新推荐文章于 2023-02-20 18:06:11 发布
阅读量840 收藏
点赞数
分类专栏: 杂七杂八
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78955169
版权

1625-5 王子昂 总结《2017年12月31日》 【连续第457天总结】
A. x64程序和逆向
B.

64位系统

CPU

32位时代,Intel主导着技术主流(x86),AMD则生成x86的兼容芯片
而到了64位时代,Intel最初发布的芯片IA-64是与HP合作的,它的指令集、寄存器都与x86完全不同。因此无法与x86直接兼容,只能通过模拟器来间接兼容(但速度慢)
后来AMD发布了AMD64,支持兼容IA-32,于是大受欢迎。
Intel没办法,只能向AMD购买了许可,发布了兼容AMD64的EM64T(后来改名为Intel64)。通常说的x64就是Intel64和AMD64的合称。

家用电脑和服务器常用x64,而大型服务器和超级计算器中则使用IA-64。

OS

64位操作系统兼容32位,原理是微软提供的WOW64(Windows On Windows 64)机制

数据模型

LLP64数据模型中,为了兼容32位使用的ILP32数据模型,仅将指针Pointer改为了8字节,即64位。其余short\int\long\longlong的大小都没有变动

Win32API

在64位Windows中,现有的Win32API几乎可以照搬使用,这使得开发人员不用熟悉新增的API,非常方便。

WOW64

64位Windows中,64位应用程序会加载kernel32.dll(64位), ntdll.dll(64位);
而32位应用程序则会加载WOW64中的kernel32.dll(32位), ntdll.dll(32位)
WOW64会将程序的请求(API调用)重定向到64位的kernel32.dll和ntdll.dll上

Created with Raphaël 2.1.0 用户 程序 32位应用程序 kernel32.dll(32bit) ntdll.dll(32bit) WOW64 Native kernel32.dll(64bit) Native ntdll32.dll(64bit) 用户模式 ------------ 内核模式 Native Ntoskml.exe(64bit) 64位应用程序 yes no

文件夹结构

在Windows64位中,分为System32文件夹和SysWOW64文件夹
System32是64位专用的
SysWOW64则是32位专用的

但当调用GetSystemDirectory()API取得系统文件夹时,64位会正常返回System32文件夹,而32位则会返回一个名为System32,内容为SysWOW64的值
这是因为WOW64在中间截获了API调用,并重定向至SysWOW64

注册表

32位进程请求访问HKLM\SOFTWARE下的键时,WOW64会将其重定向到HKLM\SOFTWARE\Wow6432Node下的键

但注册表无法完全分离为32位和64位两部分,因此有时会出现共用的情况
因此当进行逆向时需要自行查看API的具体说明

C. 明日计划
看书

奈沙夜影
关注
专栏目录
[系统安全] Windows逆向必备知识、逆向分析小实战
H4ppyD0g的博客
01-08 3008
函数调用约定 Windows API匈牙利表示法 Windows注册表 组件对象模型COM 逆向分析小实 调用约定 关键字 参数入栈顺序 堆栈回收 C标准规范 __cdecl 从右到左 调用者负责 快速调用规范 __fastcall 前几个参数寄存器传参,之后从右到左 被调用者负责 标准调用规范 __stdcall 从右到左 被调用者负责 注意函数调用约定是编译器的事情,即在把C源码编译成汇编代码时考虑;而如果只关注源码的话,除了在函数前声明使用哪种约定外,没有任何差别。 ...
第四章——64位软件逆向技术-基本语法(上)
weixin_30677073的博客
12-10 806
1.寄存器 x64系统通用寄存器名称,第一个字母从“E”改为“R”,数量增加了8个,(R8-R15),增加了8个128位XMM寄存器(XMM寄存器用来优化代码) 用表格示意: 说明: 2.栈平衡 栈的基本入栈出栈操作和32位一样,需要注意就是在64位环境下,汇编指令对栈顶的对其值有要求,因此在VS编译器申请空间的时候,会尽力保证栈顶地址为对其值16.(被16整除)...
加密与解密(第四版)第4章 逆向分析技术(64位软件逆向技术)
冰糖葫芦的夏天的博客
12-07 796
寄存器 x64寄存器x86寄存器的区别: x86下通用寄存器名称开头由E改为R,大小扩展到64位 增加8个64位通用寄存器(R8-R15) 增加8个128位的XMM寄存器 函数 x64环境下,某些汇编指令对栈顶的对齐值有要求(能够被16整除) 逆向过程中,发现申请了栈空间但不使用的情况,可能是为了栈顶对齐 如何定位main函数:当main函数执行完成时,C/C++运行库通常会调用exit函数退出进程。根据此特征,在入口代码中找到第一处call cs:exit代码,在该处上面的一个call调用的通常就是
第四章——64位软件逆向技术-基本语法(下 虚函数)
weixin_30552635的博客
12-10 109
虚函数 VC++实现虚函数的方式就是虚表,如果一个类至少要有一个虚函数,编译器会为这个类产生一个虚表。不同的类虚表就不同,相同的类虚表就会共享 识别构造和析构如果在函数入口有 lea reg,off_xxxxxx, mov [reg],reg初始化虚表,且返回值为this指针,我们就可以怀疑这是一个构造函数,同理我们发现同样的汇编我们也可以怀疑这是析构函数,可以根据顺序来区...
逆向工程实验——lab6(linux、windows64位逆向)
Onlyone_1314的博客
02-02 1246
实验目录1. Yet another crackme (or rather keygenme).(1)简单:通过补丁,打开/关闭所有5个功能。(2)中等:生成任意功能开启/关闭的序列号2. CTF(看雪.京东 2018CTF 第十二题 破解之道)第一步:第二步:第三步:第四步:第五步:第六步:3. 某文件被加密了 1. Yet another crackme (or rather keygenme). Executables: Linux x64 Windows x64 It is just to be
网鼎杯-第三场-逆向-simpleSMC
08-28
2018年8月27日--网鼎杯-第三场-逆向-simpleSMC-------
微信3.1.0.41逆向-微信3.1.0.41HOOK接口-MFC调用实例方法源码
01-06
微信3.1.0.41逆向-微信3.1.0.41HOOK接口(WeChatHelper3.1.0.41.dll)-MFC调用实例方法源码
郁金香游戏逆向-利用驱动保护自己的进程
07-05
郁金香逆向->C,C++,lua,汇编,逆向,驱动,加密解密
Java资源java-web应用程序的逆向-camunda企业版关于java-web应用程序的逆向-camunda企业版
最新发布
06-19
关于camunda ,它是一款工作流组件源自 activity5。 支持 BPMN(工作流和流程自动化)、CMMN(案例管理) 和 DMN(业务决策管理) java 框架。 德国的一个公司开发的。 下载之前需要注册去camunda官网注册账号,下载...
APK逆向--简单练练-附件资源
03-05
APK逆向--简单练练-附件资源
node.exe(Windows Binary win-x64 64位).exe
01-21
node.exe(Windows Binary win-x64 64位).exe node.js -v4.2.5 win-x64.exe 64位.exe 大小: 13.5 MB (14,162,072 字节)
x64类型的程序逆向思考
weixin_30737433的博客
04-18 130
x64类型比较习惯ida去分析,需要注意的是在x64程序中,有时会因为自己对寄存器不太熟悉导致自己分析过程混淆,下面坐下简单记录 转载于:https://www.cnblogs.com/kk328/p/10731842.html...
iOS逆向(一)系统简介
weixin_34220179的博客
03-11 178
iOS逆向环境介绍 越狱环境[iphone5s|iOS 8.3] luz-iphone:~ root# uname -a Darwin luz-iphone 14.0.0 Darwin Kernel Version 14.0.0: Sun Mar 29 19:47:37 PDT 2015; root:xnu-2784.20.34~2/RELEASE_ARM64_S5L8960X iPhone6...
[安全攻防进阶篇] 四.逆向分析之条件语句和循环语句源码还原及流程控制逆向
杨秀璋的专栏
07-31 7591
这是作者安全攻防进阶系列博客,包括恶意样本分析、逆向分析、内网渗透、网络攻防实战等。前文作者讲解了OllyDbg和Cheat Engine工具逆向分析用法,完成植物大战僵尸的游戏辅助器,包括修改阳光值和自动拾取阳光两个功能。这篇文章将继续带领大家来学习科锐钱林松老师在华中科技大学的分享视频,详细讲解条件语句和循环语句源码还原及流程控制逆向。基础性文章,希望对您有所帮助~
PowerTool x64驱动模块逆向分析(持续更新)
weixin_30784945的博客
05-23 570
比赛打完了,来继续搞了,因为那个主动防御正在写,所以想找找思路正好想到可以来逆向一下PT的驱动模块看看pt大大是怎么写的程序。 PT x64版本的驱动模块是这个kEvP64.sys。 0x0 先来看看DriverEntry 1 //IDA伪代码 2 __int64 __fastcall sub_3A010(struct _DRIVER_OBJECT *a1, __int64 ...
新手福利——x64逆向基础
任鸟飞2217777779的博客
02-20 4393
此时的寻址方式并不是以rsp为基地址来传递局部变量和参数,那么如果我们想知道一个rbp+xxxx是局部变量还是参数,就需要到头部去进行一个相对复杂的运算,比如图中的rcx来源rbp-59,虽然我们明知他是一个局部变量(因为前面是lea),但是我们也要到头部去算一算,-59-5F= -B8,在头部的地址是rsp-B8,也就是说他是一个局部变量。虽然在x64程序中,我们默认的前4个参数是rcx-r9,但是也有例外,如果我们传递的参数是浮点型的话,那么传入浮点数的参数则会使用xmm0-xmm3来代替。
IDA系列--x64逆向
Tasfa的博客
11-01 979
x64指令逆向分析,window逆向分析
X64位游戏逆向入门之魔兽
注入辅助学院
12-27 5166
第一课:从32位call开始说起 第二课:64位调用约定和call 第三课:64位寄存器传参的优先级 第四课:x64dbg初体验 第五课:初看这游戏的结构 第六课:人物信息篇 第七课:硬钢下人物的名字 第八课:数据结构–数组 第九课:数据结构–二叉树 第十课:数据结构–链表 第十一课:编写有趣的测试工具 第十二课:完善小数据的一般方法 录制中…… ...
视频教程-x86/x64软件逆向分析入门-C/C++
weixin_28639619的博客
05-28 969
x86/x64软件逆向分析入门 成都理工大学优秀讲师,教授,二十年开发经验,...
x86-64汇编入门:从32位到64位系统解析
64 位系统能处理更大的地址空间和数据,适合处理大量数据和进行高性能计算。在 x86-64 平台上,汇编语言的编程需要理解更多的寄存器和指令集扩展。 此外,讨论了汇编语言的组成部分,包括寄存器的使用,这些寄存器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值