信息对抗技术-反汇编.ppt

信息对抗技术 韩宏 一 汇编基础 汇编语言指令 C /Delphi语言汇编调试环境 对应的值是0x00402D23.因为这里涉及到整数表示的问题。在计算机体系结构中存在大端（bigend）和小端（littleend）机的概念。小端机是逻辑值的低字节存放在内存的低地址。 2.1分析Call的作用和细节 该整数是Ffff5b39 但要跳转的地址是0040100a （0040B4CC E8 39 5B FF FF call @ILT+5(add) (0040100a) ）这两个数是如何关联的呢？ 2.2 关于Call的返回 函数都要返回，那么一个函数是如何返回的呢？返回的地址保存在何处？ call指令除了相当于jmp的跳转功能外，还多了一个功能就是保存返回地址。保存在栈上。一个call相当于 push return address; jmp funcAddress; 2.3 参数的传递 13: z=add(1,2); 0040B4C8 6A 02 push 2 0040B4CA 6A 01 push 1 0040B4CC E8 39 5B FF FF call @ILT+5(add) 在call之前有两个push语句。作用就是传递 函数的参数。 2.4函数中如何访问参数 首先，我们来观察一下当call指令执行完毕后栈的布局。 栈的顶部地址存放在ESP寄存器中，而栈的大小变化是以4字节为单位（32位机），因此我们只需要做如下计算就可以访问存储2的那个单元。 例如 mov eax, [esp + 8]； 而一般因为esp容易变化，所以我们会用一个寄存器将进入函数时的esp值存放起来，然后寻址时就可以相对这个特别的寄存器寻址。例如用ebp存放esp : push ebp;//保存原来的ebp值 mov ebp, esp;//将栈顶值保存在ebp 中。 那么刚才那个相对于esp的指令就可以等价为： mov eax, [ebp + 0c]; 为什么不是[ebp + 8]呢？因为刚才执行了一个语句push ebp，那么堆栈变成了如下图所示 因此，我们得出结论，只要在一个函数的开始部分执行 push ebp; mov ebp, esp; 之后相对ebp 进行正向偏移就可以访问传入的参数了。比如刚才那个保存2的参数就可以用 ebp + 0c代表的地址访问。 然后，我们分析函数Add的反汇编代码加以验证55 push ebp 8B EC mov ebp,esp83 EC 44 sub esp,44h53 push ebx56 push esi57 push edi8D 7D BC lea edi,[ebp-44h] 0040102C B9 11 00 00 00 mov ecx,11hB8 CC CC CC CC mov eax,0CCCCCCCChF3 AB rep stos dword ptr [edi] 5: int sum; 6: sum=x+y;8B 45 08 mov eax,dword ptr [ebp+8]//访问参数x 0040103B 03 45 0C add eax,dword ptr [ebp+0Ch]//访问参数y 0040103E 89 45 FC mov dword ptr [ebp-4],eax 2.5函数如何访问自己的局部变量 蓝色字体部分为局部变量存储区间。从ebp指向的位置分析，对局部变量的访问 应该是 [ebp – offset]