手机:18632699551(微信同号)汇编不是编程昭通不锈钢保温施工,是CPU在语言,你听懂了吗?
近天天泡在OllyDbg里单步,不是为了炫技,是发现件事:扫数“反编译出来的C代码”,只好跑就崩,轻率逻辑对不上。问了圈老手,没东谈主径直说为啥,直到我方把`mov eax,1`之后立马看EFLAGS,又把`cmp eax,1`和`je`连起来看——蓝本`je`跳不跳,根本非论eax是不是1,只看ZF是不是1。ZF怎么来的?是上条`cmp`暗暗作念了减法、没动寄存器,只改了记号位。这玩意儿教材里叫“影响记号位”,可没东谈主告诉你:它才是CPU作念决定的唯依据。
过去计汇编是语言的“翻译底稿”,其后才发现它根底不是翻译。`89D8`即是`mov ebx, eax`,换个角度看,它亦然内存里串能被读成整数的字节。同个东西,在代码段里是“动起来的教导”,在数据段里即是“躺平的数字”。CPU根本不料识“教导”和“数据”这两个词,它只认地址、总线、电平低。你给它个地址,它就去取;你给它个`INT3`,它就停。就这样机械,也这样淳厚。
寄存器也不是变量。EAX不是存“成果”的地,它是ALU算完坐窝丢中间成果的簸箕——算加法、乘法、移位,齐得先倒进这儿,再倒出去。ESP昭通不锈钢保温施工,你`call`下,它就自动减4、把EIP压进去;你`ret`下,它又自动加4、把EIP吐出来。栈不是虚构见地,是竟然在内存里块块往上堆、往下掉的物理结构。看雪论坛上有东谈主说“栈被破损了”,其实酷好即是:ESP指错了位置,CPU照着阿谁地址去pop,成果拿到个乱码当EIP,然后就跳到野地址里去了。
`lea`这个教导,我运行真当它是`mov`的昆季。成果次调试卡在`lea eax,[ebx+ecx*4]`,下句是`jmp eax`,但内存里那块地址根本没代码。其后查而已才懂:`lea`根本不去读内存,它仅仅算地址。`ebx=0x402000`,`ecx=2`,那`eax`就等于`0x402008`——个干净的数学成果。污染器就这样干,看起来像在取数据,其实仅仅绕圈子算数,铁皮保温骗你去追内存看望,实际啥也没读。
OD里下断点,不是“让体式停在某行”,而是往阿谁地址写了个`CC`(INT3教导)。CPU取到`CC`,坐窝进中断,把圆寂权交给调试器。这时辰你看`EIP`,它指的即是“刚刚实行完的那条教导的下条”。是以断点掷中的那刻,`EIP`还没动,但下条仍是准备好了。IDA的静态分析狠恶,但再狠恶也得靠`call`/`ret`/`push`这些教导的固定情势去猜函数领域。它不是神算子,仅仅把二进制里重叠出现的情势,包贴上“这是函数开端”的标签。
练汇编笨也有的主张,即是开OD,找段简便的代码,比如`xor eax,eax`→`mov ecx,5`→`add eax,ecx`昭通不锈钢保温施工,然后按`t`单步,每步齐看`EAX`、`ECX`、`ZF`、`OF`变没变。别背口诀,就看它动不动——`xor eax,eax`之后ZF=1,`add eax,ecx`之后ZF=0(因为5≠0)。这样练十次,比看十页教导表牢记牢。
有东谈主问:学这样多有啥用?有。上礼拜逆个学生交的“课程缱绻”体式,加了壳,IDA不开主函数。我就用OD从进口路`t`,看到堆`push`之后跟`call`,栈顶是`0x97F3A2`,我记下来,F2下断,F9跑,断住,看`ESP+4`是`0x800401`——那即是参数。对照PE头算偏移,径直定位到解密函数。没用任何插件,也没猜算法,就靠看寄存器、看栈、看记号位。
汇编不是门槛,是接口。你无须懂半体,但得知谈`mov`不会改ZF,`cmp`会;你无须背扫数寻址式,但得明显`[esi+edi*2]`是在算地址,不是在查表;你无须会写驱动,但得了了`ret`即是`pop eip`,改了栈顶,就等于换了路标。
CPU从不骗东谈主,它只实行。你看到的每行反汇编,齐是它刚刚干完的事。
就这。
相关词条:罐体保温施工