Windows逆向工程入门之汇编位运算

目录

一、汇编位运算基础

二、逆向工程中的位运算应用

三、拓展知识点


一、汇编位运算基础

  1. AND(逻辑与)

    • 语法AND dest, src

    • 作用:按位与操作,常用于掩码清零或保留特定位。

    • 示例

      复制代码
      AND EAX, 0x0F  ; 保留EAX的低4位,其余位清零
  2. OR(逻辑或)

    • 语法OR dest, src

    • 作用:按位或操作,用于设置特定位为1。

    • 示例

      复制代码
      OR EBX, 0x80   ; 设置EBX的第7位为1
  3. XOR(逻辑异或)

    • 语法XOR dest, src

    • 作用:按位异或,常用于加密、清零寄存器或交换值。

    • 特性XOR EAX, EAX 可高效清零EAX。

    • 示例

      复制代码
      XOR ECX, 0x55AA  ; 对ECX进行异或加密
  4. NOT(逻辑非)

    • 语法NOT dest

    • 作用:按位取反,常用于生成补码或掩码反转。

    • 示例

      复制代码
      NOT EDX        ; EDX所有位取反
  5. 移位指令

    • SHL/SHR(逻辑左移/右移)

      复制代码
      SHL EAX, 3    ; 左移3位(相当于乘以8)
      SHR EBX, 2    ; 右移2位(相当于除以4)
    • SAL/SAR(算术左移/右移)

      • SAR保留符号位,适用于有符号数。
      复制代码
      SAR EAX, 4    ; 算术右移4位(保留符号位)
  6. 循环移位

    • ROL/ROR(循环左移/右移)

      复制代码
      ROL ECX, 1    ; 循环左移1位(最高位到最低位)
      ROR EDX, 8    ; 循环右移8位(常用于字节交换)

二、逆向工程中的位运算应用
  1. 加密与解密

    • XOR加密:常见于恶意软件或简单算法中。

      复制代码
      ; 解密循环示例
      mov esi, encrypted_data
      mov ecx, data_length
      decrypt_loop:
          xor byte ptr [esi], 0xAA
          inc esi
          loop decrypt_loop
  2. 标志位操作

    • 测试特定位 :通过TEST指令结合掩码检查标志位。

      复制代码
      TEST AL, 0x01   ; 检查AL的最低位是否为1(奇偶判断)
      JNZ is_odd
  3. 数据压缩与解压

    • 使用移位和掩码提取数据字段。

      复制代码
      ; 从AX中提取高4位
      MOVZX EBX, AX
      SHR EBX, 12     ; 右移12位获取高4位
  4. 反调试与混淆

    • 通过位运算隐藏关键代码逻辑。

      复制代码
      ; 混淆后的跳转计算
      MOV EAX, [target_address]
      XOR EAX, 0xDEADBEEF
      JMP EAX

三、拓展知识点
  1. 标志寄存器(EFLAGS)

    • CF(Carry Flag):无符号运算进位/借位时置1。

    • ZF(Zero Flag):结果为0时置1。

    • SF(Sign Flag):结果最高位为1时置1(负数)。

    • OF(Overflow Flag):有符号运算溢出时置1。

  2. 位域操作(Bit Fields)

    • 在结构体中定义位字段,常见于系统数据结构(如PE文件头)。

    • 示例:

      复制代码
      struct {
          unsigned int permission : 3;  // 3位权限标志
          unsigned int reserved   : 5;  // 5位保留位
      } flags;
  3. SIMD位运算(SSE/AVX)

    • 128位寄存器(XMM) :用于并行位操作(如PAND, POR)。

    • 应用场景:图像处理、加密算法加速。

  4. 调试技巧

    • 动态调试:使用x64dbg/OllyDbg观察位运算后的寄存器状态。

    • 静态分析 :IDA Pro反编译后识别位运算模式(如^0x55可能为XOR加密)。

  5. 高级语言中的位运算

    • C/C++代码

      复制代码
      uint32_t mask = 0xFF << 8;  // 生成掩码0x0000FF00
      uint32_t key = data ^ 0x1234; // XOR加密

相关推荐
aramae13 分钟前
大话数据结构之<队列>
c语言·开发语言·数据结构·算法
程序员编程指南2 小时前
Qt 数据库连接池实现与管理
c语言·数据库·c++·qt·oracle
李永奉3 小时前
STM32-定时器的基本定时/计数功能实现配置教程(寄存器版)
c语言·开发语言·stm32·单片机·嵌入式硬件
吳所畏惧3 小时前
NVM踩坑实录:配置了npm的阿里云cdn之后,下载nodejs老版本(如:12.18.4)时,报404异常,下载失败的问题解决
前端·windows·阿里云·npm·node.js·batch命令
leese2333 小时前
FreeMarker模板引擎
windows
love530love4 小时前
命令行创建 UV 环境及本地化实战演示—— 基于《Python 多版本与开发环境治理架构设计》的最佳实践
开发语言·人工智能·windows·python·conda·uv
呉師傅4 小时前
佳能iR-ADV C5560复印机如何扫描文件到电脑
运维·网络·windows·计算机外设·电脑
程序视点4 小时前
【最新专业评测】PDF Reducer专业版:85%超高压缩率的PDF压缩神器|Windows最佳PDF压缩工具推荐
windows
麦子邪4 小时前
C语言中奇技淫巧04-仅对指定函数启用编译优化
linux·c语言·开发语言
华强笔记5 小时前
C程序内存布局详解
服务器·c语言