goback add

反汇编中遇到的一些特殊的指令

5421 点击·0 回帖
灯火互联
灯火互联
楼主
1、CDQ

CDQ 把原来的 EAX 扩展成 EDX:EAX (带正负值), 这个指令把 EAX 的第 31 bit 复制到 EDX 的每一个 bit上。例如:

       假设 EAX 是 FFFFFFFB (-5) ,它的第 31 bit (最左边) 是 1, 执行 CDQ 后, CDQ 把第 31bit 复制至 EDX 所有 bit

       EDX 变成 FFFFFFFF

       这时候, EDX:EAX 变成  FFFFFFFF FFFFFFFB ,它是一个 64 bit 的大型数字,数值依旧是-5

2、关于FS

如果程序处于调试器中,那么在PEB结构中有个beingDegug标志会被设置,直接读取它就可判断是否在调试器中。实际上IsDebuggerPresent就是这么干的。

/*
说明:
TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB所在地址低的地方。
进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每4KB为一个完整的TEB,
不过该内存区域是向下扩展的。在用户模式下,当前线程的TEB位于独立的4KB段,可通过cpu的FS寄存器来访问该段,一般存储在[FS:0]。在用
 户态下WinDbg中可用命令$thread取得TEB地址。  
 
 PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。在Win2000下,进程环境块的
地址对于每个进程来说是固定的,在0x7FFDF000处,这是用户地址空间,所以程序能够直接访问。准确的PEB地址应从系统的EPROCESS结构的0x1b0偏
移处获得,但由于EPROCESS在系统地址空间,访问这个结构需要有ring0的权限。还可以通过TEB结构的偏移0x30处获得PEB的位置,FS段寄存器指向
 当前的TEB结构:
 mov eax,fs:[0x30]
 mov PEB,eax
   
   FS寄存器指向当前活动线程的TEB结构(线程结构)
   偏移  说明
   000  指向SEH链指针
   004  线程堆栈顶部
   008  线程堆栈底部
   00C  SubSystemTib
   010  FiberData
   014  ArbitraryUserPointer
   018  FS段寄存器在内存中的镜像地址
   020  进程PID
   024  线程ID
   02C  指向线程局部存储指针
   030  PEB结构地址(进程结构)
   034  上个错误号

fs:[0]是本线程TEB的头部,那么fs:[18h]呢?继续让windbg告诉我们:
0:000> dt -b ntdll!_TEB  
+0x000 NtTib            : _NT_TIB      
 +0x000 ExceptionList    : Ptr32      
 +0x004 StackBase        : Ptr32      
 +0x008 StackLimit       : Ptr32      
 +0x00c SubSystemTib     : Ptr32      
 +0x010 FiberData        : Ptr32      
 +0x010 Version          : Uint4B  
+0x014 ArbitraryUserPointer : Ptr32      
 +0x018 Self             : Ptr32    
+0x01c EnvironmentPointer : Ptr32    
+0x020 ClientId         : _CLIENT_ID      
 +0x000 UniqueProcess    : Ptr32      
 +0x004 UniqueThread     : Ptr32    
+0x028 ActiveRpcHandle  : Ptr32    
+0x02c ThreadLocalStoragePointer : Ptr32    
+0x030 ProcessEnvironmentBlock : Ptr32    
+0x034 LastErrorValue   : Uint4B
下面的省略掉了  
 
很显然,fs:[18h]是一个指向自身的指针,那么[eax+30h]就是获得PEB的地址,再来看PEB的结构:
0:000> dt -b ntdll!_PEB  
+0x000 InheritedAddressSpace : UChar  
+0x001 ReadImageFileExecOptions : UChar  
+0x002 BeingDebugged    : UChar  
+0x003 SpareBool        : UChar  
+0x004 Mutant           : Ptr32    
+0x008 ImageBaseAddress : Ptr32    
+0x00c Ldr              : Ptr32    
+0x010 ProcessParameters : Ptr32

 对于Ring3的应用程序,fs:[0]的地址指向的是TEB结构,这个结构的开头是一个NT_TIB结构,NT_TIB结构的0x18偏移处是一个Self指针,
指向这个结构自身,也就是指向TEB结构的开头。TEB结构的0x30偏移是一个指向PEB的指针。PEB又是一个结构,这个结构的0x2偏移处
是一个UChar,名叫BeingDebugged,当进程被调试时,此值为1,未被调试时此值为0

因此以下代码逐行执行后的结果:
mov eax,dword ptr fs:[18h];eax=TEB的指针
mov eax,dword ptr [eax+30h];eax=PEB的指针
movzx eax,byte ptr [eax+2h];eax=PEB.BeingDebugged(byte扩展为dword)
 
TEB和PEB结构的详细内容可以在windbg内核调试状态下使用dt _TEB、dt _PEB命令来察看



3、setne cl

if ZF=1 then cl=0
if ZF=0 then cl=1

喜欢0 评分0
回复

切换至电脑版

Powered by phpwind.me ©2003-2014