|
|
本人系菜鸟中之小菜鸟,所写全是前人经验与个人鄙见!如有谬误,敬请指正。另希望兄弟们帮我补充有用的‘反汇编语句’!
------------------------------------------------------------------------------------------------------------------------------------------
push ebp /这两句通常作为一个函数(子程序)
mov ebp, esp \的开始标志
。。。
。。。。
mov eax,dword ptr ss:[ebp+8] ;子程序(函数)把要处理的数据(参数)送入eax
有多少个mov xxx,dword ptr [ebp+x]就有多少个参数
----------------------------------------------------------------------
PUSHAD (压栈)代表程序的入口点,
POPA (出栈)代表程序的出口点,与PUSHAD相对应,一般找到这个,OEP就在附近
-----------------------------------------------------------------
sub esp, 10 ; 腾出16个字节的栈空间
add esp,10 ;清栈
------------------------------------------------------------------
mov eax, [xx] \
mov edx, [xx] \
call 00x???? \ 比较注册码语句
test eax, eax /
jz(jnz)00x?????? /
-----------------------------------------------------------------------
mov eax, [xx] \
mov edx, [xx] \ 比较注册码语句
cmp eax, edx /
jz(jnz)00x?????? /
--------------------------------------------------------------------------
mov eax, [xx] \
mov edx, [xx] \
call 00x???? \ 比较注册码语句
jz(jnz)00x?????? /
-------------------------------------------------------------------------
一个for循环的反汇编结构如下:一个明显的标志就是往回跳!
mov <循环变量>,<初值>
jmp 检查循环条件B
A: (修改循环变量)
...
...
B: cmp <循环变量>,<限制条件>
jge 跳出循环
(循环体)
...
...
jmp 修改循环变量A
--------------------------------------------------------------------------
test ecx, ecx ;用于测试寄存器是否为空(等于0),此处如果ecx为零
,设置ZF零标志位为1,Jz跳转
jz xxxxx
---------------------------------------------------------------------------
lea eax,[001****4031] ; [] 用法的唯一特例,等价于:eax=001****4031
----------------------------------------------------------------------------
(注)是否真有下诉定理存在,本菜鸟不打包票!但它们绝对是规律性的东西,值得为它们定个理
(定理一):EAX定理------所有函数(子程序)都默认以‘EAX’存储返回值!
(定理二):ESP定理------堆栈指针ESP在函数(子程序CALL)调用后,必定恢复原来的值!
(定理三):EBP定理------所有子程序都使用[EBP+XX]或[EBP-XX]来传递参数!
(定理四):ESI定理------几乎所有有关用户名与密码的操作都使用变址寄存器ESI来获得!
(定理五):PUSH定理----所有(子程序)CALL之前靠近的入栈PUSH动作都是为CALL提供参数!(见PUSH定理详解)
--------------------------------------------------------------------------
(ESP定理详解----------转自百度知道,我稍改动)
什么是esp?
它是堆栈栈顶指针寄存器(stack pointer)-----始终自动保存(指向)当前堆栈的栈顶(地址)。
什么是堆栈?
就是把数据象堆砖头一样,一块一块的往上面堆,所以取砖头时候就只能从上往下取(否则就会墙到砸人!*_*)后进先出(最后放上去的砖头最先取出来)这种数据结构就叫堆栈(作为程序参数的临时存储区,堆栈的这种存取方式有效地利用了有限的内存空间)
什么是寄存器
它是固化在cpu里面的几个内存单元,但运算速度比普通内存条上的内存单元要快很多,cpu能直接对寄存器进行操做。我们可以把寄存器看成c语言里系统定义的‘几个’变量,数据啊字符串啊什么的都能存放在这里面 。
什么是call
call就是调用一个子程序(电视剧里长说:“有事你‘call’我”,与此有异曲同工之妙!-------记住!有‘事’才会‘call’它)
比如
000****0414 mov ax,word ptr [45***47]
000****0418 mov bx, .....
000****0420 call 00***87
000****0422 .....
在程序执行call之前 他需要保存call命令‘下面的’主程序(或调用者)的地址000****0422 ,那么把它保存在哪呢?因为等下还要用到它,而且它是最后保存的,一执行完call后就要调用000****0422这个地址,所以保存在堆栈里最好了(后进先出的特点)
关键:无论在call里面使用了多少次‘入栈、出栈’最后call调用完,000****0422这个数据就出栈了,
堆栈指针自动指向原堆栈中000****0422下面那个数据。
因此堆栈指针的位置在调用前后没有发生改变。
这就是有名的堆栈平衡(堆栈指针在执行一系列子程序后所指向位置不变)
--------------------------------------------------------------------------------------------
(PUSH定理详解 )
004****1333 |. 4E 6F 77 20 7>ascii "Now write a keyg"
004****1343 |. 65 6E 20 61 6>ascii "en and tut and y"
004****1353 |. 6F 75 27 72 6>ascii "ou're done.",0
00***35F |> 6A 00 push 0 \
004****1366 |. 68 331****4000 push 004****1333 |----->这3个PUSH都为子程序MessageBoxA提供参数
00***36B |. FF75 08 push dword ptr [ebp+8] /
00***36E |. E8 190****0000
call <jmp.&USER32.MessageBoxA> |
|
发表于 2009-7-23 20:00:46