C/C++拾遗录--POPAD不会影响ESP

最新推荐文章于 2022-04-21 20:40:00 发布
最新推荐文章于 2022-04-21 20:40:00 发布
阅读量1.4k 收藏
点赞数
分类专栏: C/C++语言基础 文章标签: struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xkjcf/article/details/7760151
版权

PUSHA/PUSHAD,POPA/POPAD它们配合使用,用于8个16位/32位通用寄存器与堆栈之间的数据传送。

PUSHAD指令压入32位寄存器,使他们按照EDI,ESI,EBP,ESP,EBX,EDX,ECX,最后是EAX的顺序出现在堆栈中,POPAD使弹出的顺序正好相反。

PUSHA/PUSHAD,POPA/POPAD从80286处理器开始使用.执行PUSHA/PUSHAD,POPA/POPAD时,其堆栈指针SP将分别需要减16/32和加16/32.

POPAD不会影响ESP ,但是会影响EBP。

#include <iostream>
using namespace std;
typedef unsigned long ULONG;
//该程序只为调使用,无法正确返回。
typedef struct __REGISTERS_
{
	ULONG		EDI;     //0
	ULONG		ESI;     //4    
	ULONG		EBP;     //8
	ULONG		ESP;     //12
	ULONG		EBX;     //16 
	ULONG		EDX;     //20
	ULONG		ECX;     //24
	ULONG		EAX;     //28
	ULONG 	EFlags;   //32
}REGISTERS,*pREGISTERS;

int main()
{	
	REGISTERS Regs={0};
	Regs.ESP=0x12345678;
//	__asm mov esp,Regs.ESP                   //修改ESP可以利用直接赋值的方式解决。
	__asm
	{
		PUSH	DWORD PTR Regs.EAX 
		PUSH	DWORD PTR Regs.ECX 
		PUSH	DWORD PTR Regs.EDX 
		PUSH	DWORD PTR Regs.EBX 
		PUSH	DWORD PTR Regs.ESP 
		PUSH	DWORD PTR Regs.EBP 
		PUSH	DWORD PTR Regs.ESI 
		PUSH	DWORD PTR Regs.EDI 
		POPAD                            //调试在此处设置断点,所有的通用寄存器均被设置为0,除了ESP。注意,EBP也被赋值。
	}
	return 0;
}


 

xkjcf
关注
专栏目录
170624 逆向-失败的脱壳
whklhhhh的博客
06-25 659
1625-5 王子昂 总结《2017年6月24日》 【连续第265天总结】 A. 脱壳前瞻 B. 明天考试于是基本都在复习高数 拽了一个?难度的CrackMe试试,拖入PEiD发现第一次遇到壳 Markus & Laszlo" style="margin:0px; padding:0px; vertical-align:middle; color:rgb(23,150,249); d
一次C#/.NET以及VB p-code/native的逆向破解
serfend's blog
03-23 1955
一次C#/.NET以及VB p-code/native的逆向破解 玩了5份样本,2份dotnet的,2份native的和1份pcode的。 dotnet framework程序 dotnet的相对会简单,只需要使用dnspy工具打开目标程序,找到逻辑点后,点编辑函数,然后去掉校验逻辑。随后保存到程序集即可。 遇到加了混淆以后对外显示原始方法名称,但是点进去以后发现所有方法全都是直接返回null的,这种也是可以通过de4dot_.NET_Reactor_v6.x_Modded 提
PUSHAD
zacklin的专栏
04-19 1944
汇编语言传送指令之一,与它相关的指令还有PUSHA,POPA/POPAD.它们配合使用用于8个16位/32位通用寄存器与堆栈之间的数据传送.  PUSHAD指令压入32位寄存器,使他们按照EDI,ESI,EBP,ESP,EBX,EDX,ECX,最后是EAX的顺序出现在堆栈中。  要注意,PUSHA/PUSHAD,POPA/POPAD从80286处理器开始使用.执行PUSHA/PUSHAD,POPA
逆向学习1-[脱壳技术]/篇1
m0_52343643的博客
04-21 2709
壳 壳是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或反编译的目的 壳的分类 壳分为压缩壳和加密壳 压缩壳 压缩壳主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩壳有:Upx、ASpack、PECompat 加密壳 加密壳应用有多种防止代码逆向分析的技术,用该壳的PE文件会比原文件大很多,有时恶意程序也用加密壳来降低杀毒软件的扫描 常见的加密壳有:ASProtector、Armadillo、EXECryptor、T.
汇编中的PUSHAD和POPAD指令
热门推荐
迪迦 • 奥特曼
11-02 4万+
PUSHAD 指令 格式: PUSHAD 功能: 本指令将EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI 这8个32位通用寄存器依次压入堆栈,其中SP的值是在此条件指令未执行之前的值.压入堆栈之后,ESP-32–>ESP. POPAD 指令 格式: POPAD 功能: 本指令依次弹出堆栈中的32位字到 EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX中,弹出...
PUSHAD和POPAD,以及PUSHA和POPA
qq_41683305的博客
04-10 4098
PUSHAD PUSHAD也叫保护现场,就是把我们的寄存器压入栈中 pushad是把eax,ecx,edx,ebx,esp、ebp,esi,edi依次压入栈中,ESP会减少32,相当于: push eax push ecx push edx push ebx push esp push ebp push esi push edi 就是我们在OD的寄存器窗口,看到的寄存器顺序,按照由上往下的顺序,...
堆栈操作指令PUSH/PUSHA/PUSHAD/POP/POPA/POPAD、交换指令XCHG/XLAT/BSWAP、地址或段描述符选择子传送指令LEA/LDS/LES/LFS/LGS/LSS指令含义
最新发布
09-01
POP指令将一个值从堆栈弹出,POPA指令将堆栈中的值按从低到高的顺序弹出,分别存入AX、CX、DX、BX、SP、BP、SI、DI中,而POPAD指令将堆栈中的值按从低到高的顺序弹出,分别存入EAX、ECX、EDX、EBX、ESP、EBP、ESI、...
脱壳学习记----EXE找OEP
qq_42192672的博客
09-11 462
参考文献就是加密解密3,算是整合一下自己的学习记吧,方便以后看 脱壳:程序总有自己的初始入口点(OEP),可以为了保护或者是隐藏性破坏,会给程序加上一层壳,这样当你分析带壳的程序时,访问的入口点就不会是OEP,分析程序的时候可以能出吧外壳里的一大堆混淆或者其余代码段读入,导致无法清晰的分析。那么就需要脱壳了,显然第一步就是要找到OEP 我们先自己给程序加个壳 初始程序链接:https://...
C/C++与汇编的交互
牧秦丶
11-06 2396
C/C++与汇编的交互                                                                                                                                                     例程源码下载  0.   准备工作 1> 简述:  我们知道,大部分的
PUSHA/PUSHAD POPA/POPAD 指令详解
车子(chezi)
03-12 3万+
PUSHA/PUSHAD POPA/POPAD 指令详解官方文档的解释在《Intel Architecture Software Developer’s Manual Volume 2:Instruction Set Reference》中说明了PUSHA/PUSHAD,POPA/POPAD指令的用法。PUSHA/PUSHAD他们的指令码是一样的。 当操作数的大小是32位时: 这两个指令的作
pushad和pushfd
`小明湖畔.。のBlog
02-17 4366
转自:http://blog.sina.com.cn/s/blog_af95b18b0101hmx0.html pushad: 将所有的32位通用寄存器压入堆栈 pusha:将所有的16位通用寄存器压入堆栈 pushfd:然后将32位标志寄存器EFLAGS压入堆栈 pushf::将的16位标志寄存器EFLAGS压入堆栈 popad:将所有的32位通用寄存器取出堆栈
c++类 虚继承下 具有虚函数的类对象结构分布
qq1010624的博客
05-28 212
c++类 虚继承下 具有虚函数的类对象结构分布 前言 c++类声明虚函数后,类对象头四个字节会含有虚函数表指针 vptr,指向虚函数 虚继承类的类对象会多一个结构:虚基类表指针 vbptr 虚基类表的第二项是一个偏移 偏移为在虚继承下类对象内 虚基类表指针与基类的虚函数表指针的偏移 如 struct virtual_classTable { int null; int offset; // 虚基类表指针与基类的虚函数表指针的偏移 }; 如下: vbptr 与vptr的偏移
34. 脱壳篇-FSG压缩壳、ImportREC修复IAT输入表的使用,令一种寻找OEP方式
墨痕诉清风的博客
03-08 2397
直接将exe拖至FSG进行压缩壳 OD打开 第一次选择,然后重新加载(Ctrl+F2) 这次选择这样 结果 分析后 dump出来,注意:重建输入表不勾选,否则软件崩溃不可用行 寻找,我们要引入一个非常优秀的输入表(IAT)修复工具,ImportREC 输入OEP 输入 这两个位置不对,我们输入地址在OD里查询看一下,记得加基...
pushad 和 pushfd
HelloKandy's Blog
12-26 5402
pushad:将所有的32位通用寄存器压入堆栈 pushfd:然后将32位标志寄存器EFLAGS压入堆栈 pusha:将所有的16位通用寄存器压入堆栈 pushf:将的16位标志寄存器EFLAGS压入堆栈 popad:将所有的32位通用寄存器取出堆栈 popfd:将32位标志寄存器EFLAGS取出堆栈 popa:将所有的16位通用寄存器取出堆栈 popf:将16位标志寄存器EFLA...
C/C++(其实是汇编。。。)获取Windows真实版本
szx0427的博客
02-29 342
VS2010中GetVersionEx函数实测最高版本Windows 8(NT6.2 Build 9200),不再支持新系统。 以下代码来自广大网友,侵权请联系删除 void GetRealVersionOfWindows(OUT DWORD Major, OUT DWORD Minor) { _asm { pushad mov ebx, fs:[0x18]; get self ...
C++写壳详解之初级篇
qq_31507523的博客
04-22 2733
C++写壳详解之初级篇 之前在15PB学习,写了一个基于Windows平台对PE文件加壳的项目,经过一个月的缓冲,在这决定复习总结及分享下的我的心得。 主要工具: 010Editor、VS2017、x64dbg、LordPE、OD 实现功能: 压缩文件、对代码段加密。 一、加壳原理 要想弄明白怎么对PE文件加壳,首先需要对PE文件比较熟悉,而最快的熟悉PE文件的方法就是自己写一个PE解析工具和写壳...
pushad & pushfd
bilibili的博客
01-11 8012
pushad 和 pushfd
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值