Windows逆向工程入门之汇编位运算

目录

一、汇编位运算基础

二、逆向工程中的位运算应用

三、拓展知识点


一、汇编位运算基础

  1. AND(逻辑与)

    • 语法AND dest, src

    • 作用:按位与操作,常用于掩码清零或保留特定位。

    • 示例

      复制代码
      AND EAX, 0x0F  ; 保留EAX的低4位,其余位清零
  2. OR(逻辑或)

    • 语法OR dest, src

    • 作用:按位或操作,用于设置特定位为1。

    • 示例

      复制代码
      OR EBX, 0x80   ; 设置EBX的第7位为1
  3. XOR(逻辑异或)

    • 语法XOR dest, src

    • 作用:按位异或,常用于加密、清零寄存器或交换值。

    • 特性XOR EAX, EAX 可高效清零EAX。

    • 示例

      复制代码
      XOR ECX, 0x55AA  ; 对ECX进行异或加密
  4. NOT(逻辑非)

    • 语法NOT dest

    • 作用:按位取反,常用于生成补码或掩码反转。

    • 示例

      复制代码
      NOT EDX        ; EDX所有位取反
  5. 移位指令

    • SHL/SHR(逻辑左移/右移)

      复制代码
      SHL EAX, 3    ; 左移3位(相当于乘以8)
      SHR EBX, 2    ; 右移2位(相当于除以4)
    • SAL/SAR(算术左移/右移)

      • SAR保留符号位,适用于有符号数。
      复制代码
      SAR EAX, 4    ; 算术右移4位(保留符号位)
  6. 循环移位

    • ROL/ROR(循环左移/右移)

      复制代码
      ROL ECX, 1    ; 循环左移1位(最高位到最低位)
      ROR EDX, 8    ; 循环右移8位(常用于字节交换)

二、逆向工程中的位运算应用
  1. 加密与解密

    • XOR加密:常见于恶意软件或简单算法中。

      复制代码
      ; 解密循环示例
      mov esi, encrypted_data
      mov ecx, data_length
      decrypt_loop:
          xor byte ptr [esi], 0xAA
          inc esi
          loop decrypt_loop
  2. 标志位操作

    • 测试特定位 :通过TEST指令结合掩码检查标志位。

      复制代码
      TEST AL, 0x01   ; 检查AL的最低位是否为1(奇偶判断)
      JNZ is_odd
  3. 数据压缩与解压

    • 使用移位和掩码提取数据字段。

      复制代码
      ; 从AX中提取高4位
      MOVZX EBX, AX
      SHR EBX, 12     ; 右移12位获取高4位
  4. 反调试与混淆

    • 通过位运算隐藏关键代码逻辑。

      复制代码
      ; 混淆后的跳转计算
      MOV EAX, [target_address]
      XOR EAX, 0xDEADBEEF
      JMP EAX

三、拓展知识点
  1. 标志寄存器(EFLAGS)

    • CF(Carry Flag):无符号运算进位/借位时置1。

    • ZF(Zero Flag):结果为0时置1。

    • SF(Sign Flag):结果最高位为1时置1(负数)。

    • OF(Overflow Flag):有符号运算溢出时置1。

  2. 位域操作(Bit Fields)

    • 在结构体中定义位字段,常见于系统数据结构(如PE文件头)。

    • 示例:

      复制代码
      struct {
          unsigned int permission : 3;  // 3位权限标志
          unsigned int reserved   : 5;  // 5位保留位
      } flags;
  3. SIMD位运算(SSE/AVX)

    • 128位寄存器(XMM) :用于并行位操作(如PAND, POR)。

    • 应用场景:图像处理、加密算法加速。

  4. 调试技巧

    • 动态调试:使用x64dbg/OllyDbg观察位运算后的寄存器状态。

    • 静态分析 :IDA Pro反编译后识别位运算模式(如^0x55可能为XOR加密)。

  5. 高级语言中的位运算

    • C/C++代码

      复制代码
      uint32_t mask = 0xFF << 8;  // 生成掩码0x0000FF00
      uint32_t key = data ^ 0x1234; // XOR加密

相关推荐
专注VB编程开发20年2 小时前
开机自动后台运行,在Windows服务中托管ASP.NET Core
windows·后端·asp.net
hanniuniu134 小时前
AI时代API挑战加剧,API安全厂商F5护航企业数字未来
人工智能·安全
zhulangfly4 小时前
API接口安全-1:身份认证之传统Token VS JWT
安全
森焱森4 小时前
无人机三轴稳定控制(2)____根据目标俯仰角,实现俯仰稳定化控制,计算出升降舵输出
c语言·单片机·算法·架构·无人机
李洋-蛟龙腾飞公司4 小时前
HarmonyOS NEXT应用元服务常见列表操作分组吸顶场景
linux·运维·windows
码农垦荒笔记5 小时前
Git 安装闭坑指南(仅 Windows 环境)
windows·git
时时三省5 小时前
【时时三省】vectorcast使用教程
安全·安全架构
阿幸软件杂货间6 小时前
Windows 10 2016 长期服务版
windows·系统·win10
galaxylove6 小时前
Gartner发布最新指南:企业要构建防御性强且敏捷的网络安全计划以平衡安全保障与业务运营
网络·安全·web安全
PeterJXL6 小时前
Chrome 下载文件时总是提示“已阻止不安全的下载”的解决方案
前端·chrome·安全