免杀笔记 ----->汇编基础

Whoami@127.0.0.12024-06-17 9:47

免杀的第一件事,当然是学汇编啦,小编也是从0开始呢!!!一起来看看吧!

免责声明,本人所有教学内容仅供参考,无任何不良引导,内容资料来自网络,如有侵权请联系删除!!!!

**1.**数据宽度

学计算机的大家一定不会陌生,比如经常听什么一个字节等于8个比特 ....这种之类的。

其实可以分为以下这些单位

  • 比特 比如像我们平时所看见的那些 0101101001010这样子,一位就是一个bit
  • 字节 也可以叫做Byte,就好像我们上面说的,一个字节就是8个比特
  • 字 是计算机进行数据存储和数据处理的运算的单位。而一个字又是两个字节

这里就要说一下,如果你往一个32位寄存器里面存很大的数,肯定是不行的,超过了数据宽度

2.进制

我们在生活中用的最多的就是十进制了 ,但是计算机可不是用的十进制 而是二进制01010这些

其中我们在免杀中需要熟悉的,就是2进制和十进制吧,8进制的话少一点

就比如 0x08 = 8 = 0100 , 0x10 = 16 = 10000 0xC = 12 = 1100

这种简单的计算还是要会

3.通用寄存器

我们一开始先是去研究32位下的寄存器

  • EAX
  • ECX
  • EDX
  • EBX
  • ESP
  • EBP

我们去OD看一下mimikatz的就知道了 ,这个OD只能打开32位的哦,你别拿64位的mimikatz 那当然是打不开的

我们看见最右边那个就是对应的通用的寄存器

4.OD的使用

虽然在这里插入感觉有的点突兀,但是既然提到了OD,那还是要给大家去讲一下怎么使用的

  • F8 单步步过

当我们想要从0075ECF7走到0075ECFA的时候只需要F8 一下就好了!!!

  • F7 单步步入

就拿我们的c++来举例子

当我们输出完1之后我们就要进入函数,如果f8的话就直接略过函数,f7则是单步进入

那这个举例子,如果我们继续f8的话,就会直接执行这个函数的结果,然后走到0075ED0E

如果我们F7的话,就会进入到栈(可以看见前面的地址都不一样了)

  • F2 打断点

假如我现在有一个程序在 0075EF12这个位置我想让他跑去 0075EF27这个位置

我们只需要在 0075EF27 这个位置点一下,然后直接F2

他变红了,但是此时我们程序还是运行到了0075EF27这个位置而已

  • F4 运行到指定位置

继续上面,我们只要F4一下,就能让他跑到0075EF27这个位置

5.汇编指令

1.mov

其实就是move,我来操作一遍你就懂了

这个指令就是将334的值移动到eax这个寄存器里面

看,瞬间就变红了 其中eax就是寄存器,然后0x334我们称之为立即数

当然了,除了我们直接这样子赋值,也可以直接这么写

意思就是把Dword(32位数据类型)ptr 在 0x00BF5F9D4这个地址的值给拿出来,丢到EAX里面

不出什么以外的话,EAX应该是变成了00B5F9E8

当然,也是可以直接把寄存器当作一个地址来用的,但这时候寄存器的值就变成了一个地址,而不是寄存器的值 我们后买你lea会讲到

2.add sub

这个看起来都很明白了吧,我就直接用一个示例来演示一下得了

这个意思就是EAX=EAX+0x11 有没有编成里面的+=的意思捏,嘻嘻嘻

不出意外就是 00CFFC55

那么同理 SUB也是一样的!!! 我就不过多演示了

3.and or xor

这个可能对于学过离散数学的会比较好理解,我们还是来举一个例子

4 and 7 也就是离散数学上的 4 和取7 (二进制)

  • 4:0100
  • 7:0111 这两个合取结果应该是 0100 也就是4

结果也是如此

然后就是我们的XOR 也就是异或 为我们还是拿上面的来举例子

  • 4:0100
  • 7:0111 这两个异或结果应该是 0011 (异或就是只有01同时存在才为1)

那么答案不出意外的话,应该就是 3

4.lea

这个用的多,最简单的就是这样

将0x446这个地址(不是这个地址的数)直接给到EAX,所以EAX应该会变成446

但是一般没人会这么用,我们更多的是直接用的寄存器

至于为什么要这样子用,我们讲到堆栈的时候你就懂了

最常用的更是我们的立即数配和寄存器

至于为什么,我们后面再说

5.push pop

这两个都是涉及到了堆栈,我们下面再讲

6.cmp

这个我们也放在下面讲

5.内存寻址

这个其实我们在上面的add的时候就已经提到了一些了

其实也就是通过内存地址来获取或者得到一些值,这个内存地址,你可以直接写地址,或者直接写寄存器。

不过还是要说一下,我们刚才的那个 dword ptr ds:[0x2121312]这个例子

我们里面提到的ds ,在用户层只是起寻址的作用,在内核层涉及到段,页有别的作用
cs :代码段
ds :数据段
ss :堆栈段
es :附加段

6.代码是怎么执行的

我们一定用过VS或者devcpp等其他编译器写过代码,那么他的底层逻辑是什么呢???

因为我们的CPU只能看的懂0 1 ,所以一般是这样的一个过程

c/cpp代码 ---> 汇编代码 ------> 硬编码 ------> CPU

我们去VS看一下,就像这段最简单的hello world

我们右键转到反汇编

就能看见我们的汇编代码

然后我们再把他转换成硬编码

然后就是到了CPU那里了,我们的 "Hello World!" 就是这么被执行的

7.标志寄存器

我们再OD里面除了能看见我们的通用寄存器,我们还能看见这个标志寄存器

对于32位下,我们的标志寄存器叫做EFlag ,也就是我们看见上面的EFL

在64位下,我们的标志寄存器就叫做RFlag

其中EFlag寄存器各个位置有各个位置的不同作用,特别是ZF这个位置,也就是上面我们看见的Z这个位置,我们来举个栗子

我们用CMP这个汇编指令的时候,我们总不能把返回结果存储在eax中吧,这时候就要用到标志寄存器中的ZF这一个位置

我们能看见Z这个位置变成了1 就是说明了结果相同,这个到后面的JCC语句会用

同样的还有CF

CF:进位标志CF(Carry Flag),如果运算结果的最高位产生了一个进位或借位,其值为1,否则为0

OF

如果运算结果超过当前运算位数所能表示的范围,则称为溢出,OF的值被置为1,否则,OF的值被清为0。

8.堆栈

栈Stack,堆Heap这两个对于程序员来说更是经典

:用于存储函数的局部变量和函数调用的上下文信息。栈上的数据在函数执行结束时自动释放。

这个其实很好理解,就像这个代码,我们的两个a都是开在了栈上面

:用于动态分配的内存,由程序员手动分配和释放。在C语言中,使用 malloc()calloc() 等函数分配的内存位于堆上。

这个也很好理解,像下图,就是在堆区上开辟了一个长度为三的整数数组,并且用p指向了首地址

而规定了,进出函数的前后堆栈的地址不能改变

Jmp

这个其实就是Jump的缩写,就是直接跳转到其他地址

我们之际JMP一下,就能直接跳到我们对应的地方了

但是JMP不会堆堆栈的位置进行改变,怎么看是否改变呢??? 还记得我们之前的通用寄存器码

  • ESP 指向栈顶
  • EBP 指向栈底

我们可以去尝试,堆栈在JMP下是不会发生改变的

Call Ret

这两个一般都是搭配使用的

  • Call 跳转到指定地址并返回到当前指令的下一行,当我们调用这个的时候,他会先将esp提升四个字节,并将返回地址压入堆栈 (提栈)
  • ret 返回到指定地址,当我们调用这个指令的时候,会将esp降低四个字节,并且从堆栈中取出返回地址,传递给EIP(运行的地址)

这么说似乎有点抽象,我们来举个栗子就懂了

首先我们遇到了一个call,然后有以下的信息

  • 当前的地址是 EF12 下一步的地址是 EF17
  • 当前的EBP是 FB34 ESP的地址是FB28

然后我们单步F7进入一下

然后又能收集到以下的信息

  • 我们的ESP减少了4(提栈)ESP变成了FB24
  • 并且我们的返回地址EF17被压栈,压入了FB24

然后我们直接跑到retn那里

可以看见函数跑了一通之后我们的ESP还是FB24里面还是EF17,然后我们F8走一下

还是能收集到以下的信息

  • retn成功的返回了我们的地址
  • ESP是FB28 EBP是FB34 和函数一开始调用时候的栈地址是一样的!!!!!

Push Pop

这两个其实和Call 和Ret有点像的,但是也有差异

在介绍这两个命令之前,还得讲一下栈的数据存储,是从高到低的,比如我上一个是94,那么我压栈存数据之后就应该存在90这个地址!

Push 压栈,将ESP减少4,然后将数据压入。

有点类似call的功能,只是将返回的地址更换成了数据

Pop 出栈 将ESP加4,并且将原来ESP的数值取出放到指定的地址或者寄存器

有了上面的Push的基础,我们就不难理解我们的pop了,直接举例子吧

像这样,就是直接把ESP的值取出来,mov到EAX,然后将ESP的值加上4

9.JCC语句

JCC不知道能不能被翻译为Jump Condition Code

其实就是和标志寄存器实现了一个联动,一般格式如下

bash 复制代码 
JCC target_address

JZ/JE jump if zero;jump if equal 其实就是检查ZF这个位是不是为1,是则跳转
举个栗子,首先我们构造一个Z标志位为1的一种情况

然后我们直接构造一个JCC语句

因为我们的Z位置是1,所以他是会直接跳到我们对应的位置的

JNZ/JNE jump if not zero;jump if not equal 如果ZF为0则跳转
这个其实和上面的那个差不多,我就不给大家演示了。

10.堆栈图

这个算是有点难吧,不过也是理解就好了,其实你把上面的指令都理解清除的话,就不会有问题。

我们之前说的栈平衡其实有点问题,就是并不是说call回来之后esp一定会与原来相同,有些则是通过 add esp,0x...... 这样来实现ESP不变 ------->这样我们也叫他是栈平衡(看他是在函数外平衡堆栈还是在函数内平衡堆栈)

具体堆栈图就不演示了,因为会非常麻烦,而且混乱(除非视频讲解),但是原理还是一样

相关推荐
一品人家4 天前
win32汇编环境,得到当前日期时间的例子
汇编
试试看1684 天前
自制操作系统第三天
汇编·系统架构
0xCC说逆向7 天前
Windows逆向工程入门之汇编位运算
c语言·汇编·windows·安全·逆向
矮油0_o7 天前
30天开发操作系统 第 20 天 -- API
c语言·汇编·操作系统
charlie1145141917 天前
从0开始的操作系统手搓教程 4:做好准备,跳到加载器(Loader)
汇编·学习·操作系统·调试·mbr·手搓教程·bochs
官子无敌刘小路10 天前
汇编简介&常用语法
汇编
二进制怪兽13 天前
[笔记] 汇编杂记(持续更新)
汇编
bae-唯一14 天前
关于32位和64位程序的传参方法及虚拟机调试工具总结
汇编·学习
E_han15 天前
7.list
开发语言·汇编·数据结构·c++·算法·list
二进制怪兽16 天前
[笔记] x86汇编语言:从实模式到保护模式之第一章 十六进制计数法
汇编
热门推荐
01DeepSeek各版本说明与优缺点分析02如何在WPS和Word/Excel中直接使用DeepSeek功能03DeepSeek本地部署详细指南04太炸裂了!清华大学deepseek从入门到精通使用手册又出第三版了,《普通人如何抓住DeepSeek红利》(无套路,直接下载)05本地部署DeepSeek教程(Mac版本)06DeepSeek r1本地安装全指南07本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程08DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具09在Windows下安装Ollama并体验DeepSeek r1大模型10DeepSeek RAGFlow构建本地知识库系统