首页>软件开发>汇编语言>反汇编中遇到的一些特殊的指令
回复
« 返回列表
灯火互联
灯火互联
管理员
管理员
  • 注册日期2011-07-27
  • 发帖数41778
  • QQ
  • 火币41290枚
  • 粉丝1086
  • 关注100
写私信 打招呼
  • 终身成就奖
  • 最爱沙发
  • 忠实会员
  • 灌水天才奖
  • 贴图大师奖
  • 原创先锋奖
  • 特殊贡献奖
  • 宣传大使奖
  • 优秀斑竹奖
  • 社区明星
阅读:4451回复:0

反汇编中遇到的一些特殊的指令

楼主#
更多 发布于:2012-12-17 14:56
1、CDQ

CDQ 把原来的 EAX 扩展成 EDX:EAX (带正负值), 这个指令把 EAX 的第 31 bit 复制到 EDX 的每一个 bit上。例如:

       假设 EAX 是 FFFFFFFB (-5) ,它的第 31 bit (最左边) 是 1, 执行 CDQ 后, CDQ 把第 31bit 复制至 EDX 所有 bit

       EDX 变成 FFFFFFFF

       这时候, EDX:EAX 变成  FFFFFFFF FFFFFFFB ,它是一个 64 bit 的大型数字,数值依旧是-5

2、关于FS

如果程序处于调试器中,那么在PEB结构中有个beingDegug标志会被设置,直接读取它就可判断是否在调试器中。实际上IsDebuggerPresent就是这么干的。

/*
说明:
TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB所在地址低的地方。
进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每4KB为一个完整的TEB,
不过该内存区域是向下扩展的。在用户模式下,当前线程的TEB位于独立的4KB段,可通过cpu的FS寄存器来访问该段,一般存储在[FS:0]。在用
 户态下WinDbg中可用命令$thread取得TEB地址。  
 
 PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。在Win2000下,进程环境块的
地址对于每个进程来说是固定的,在0x7FFDF000处,这是用户地址空间,所以程序能够直接访问。准确的PEB地址应从系统的EPROCESS结构的0x1b0偏
移处获得,但由于EPROCESS在系统地址空间,访问这个结构需要有ring0的权限。还可以通过TEB结构的偏移0x30处获得PEB的位置,FS段寄存器指向
 当前的TEB结构:
 mov eax,fs:[0x30]
 mov PEB,eax
   
   FS寄存器指向当前活动线程的TEB结构(线程结构)
   偏移  说明
   000  指向SEH链指针
   004  线程堆栈顶部
   008  线程堆栈底部
   00C  SubSystemTib
   010  FiberData
   014  ArbitraryUserPointer
   018  FS段寄存器在内存中的镜像地址
   020  进程PID
   024  线程ID
   02C  指向线程局部存储指针
   030  PEB结构地址(进程结构)
   034  上个错误号

fs:[0]是本线程TEB的头部,那么fs:[18h]呢?继续让windbg告诉我们:
0:000> dt -b ntdll!_TEB  
+0x000 NtTib            : _NT_TIB      
 +0x000 ExceptionList    : Ptr32      
 +0x004 StackBase        : Ptr32      
 +0x008 StackLimit       : Ptr32      
 +0x00c SubSystemTib     : Ptr32      
 +0x010 FiberData        : Ptr32      
 +0x010 Version          : Uint4B  
+0x014 ArbitraryUserPointer : Ptr32      
 +0x018 Self             : Ptr32    
+0x01c EnvironmentPointer : Ptr32    
+0x020 ClientId         : _CLIENT_ID      
 +0x000 UniqueProcess    : Ptr32      
 +0x004 UniqueThread     : Ptr32    
+0x028 ActiveRpcHandle  : Ptr32    
+0x02c ThreadLocalStoragePointer : Ptr32    
+0x030 ProcessEnvironmentBlock : Ptr32    
+0x034 LastErrorValue   : Uint4B
下面的省略掉了  
 
很显然,fs:[18h]是一个指向自身的指针,那么[eax+30h]就是获得PEB的地址,再来看PEB的结构:
0:000> dt -b ntdll!_PEB  
+0x000 InheritedAddressSpace : UChar  
+0x001 ReadImageFileExecOptions : UChar  
+0x002 BeingDebugged    : UChar  
+0x003 SpareBool        : UChar  
+0x004 Mutant           : Ptr32    
+0x008 ImageBaseAddress : Ptr32    
+0x00c Ldr              : Ptr32    
+0x010 ProcessParameters : Ptr32

 对于Ring3的应用程序,fs:[0]的地址指向的是TEB结构,这个结构的开头是一个NT_TIB结构,NT_TIB结构的0x18偏移处是一个Self指针,
指向这个结构自身,也就是指向TEB结构的开头。TEB结构的0x30偏移是一个指向PEB的指针。PEB又是一个结构,这个结构的0x2偏移处
是一个UChar,名叫BeingDebugged,当进程被调试时,此值为1,未被调试时此值为0

因此以下代码逐行执行后的结果:
mov eax,dword ptr fs:[18h];eax=TEB的指针
mov eax,dword ptr [eax+30h];eax=PEB的指针
movzx eax,byte ptr [eax+2h];eax=PEB.BeingDebugged(byte扩展为dword)
 
TEB和PEB结构的详细内容可以在windbg内核调试状态下使用dt _TEB、dt _PEB命令来察看



3、setne cl

if ZF=1 then cl=0
if ZF=0 then cl=1
喜欢0 评分0
淘宝天猫隐藏优惠券地址
回复
游客

Powered by atcpu.com ©2008-2021

灯火互联网 蜀ICP备13028548号

手机认证个人空间个人相册音乐电台音乐畅听网站终身会员手机吉凶在线YY百宝箱
返回顶部