通常IDA对一个PE文件逆向出来的代码中,存在四个最基本的段text、idata、rdata、data,四个段为PE文件的结构中对应的段。
一、text段:
该段位程序代码段,在该段一开始就可以看到:
.text:00401000 ; Segment type: Pure code
.text:00401000 ; Segment permissions: Read/Execute
这里的段类型跟权限说明很…
Category:
ASM
-
-
一:准备
PC机:172.16.7.153
broad:172.16.7.155
# ifconfig
eth0 Link encap:Ethernet HWaddr 00:07:63:00:00:0B
inet addr:172.16.7.155 Bcast:… -
retn 4
是个函数返回指令。先假设个环境:
retn 4未执行时,ESP=0013feb8;EIP=5d1d8b97;而[0013feb8]=7c974a19执行retn 4之后:
首先
EIP=[0013feb8]
:即此时cpu先指挥EIP获取到栈中0013feb8起4个字节的值7c974a19,作为retn跳转的目标,然后cpu跳过去等着执行7c974a19地址下的命令。此时,EIP=7c974a…
-
名称 功能 操作数 操作码 模数 寄存器1寄存器2或内存 位移量 立即数 符号 方向 芯片型号16位32位JO 溢出跳转 短 $70无 无 无... -
gdb的断点是基于信号(signal)实现的
在某个地址增加一个断点,实际上就是修改那个地址的代码,把原来的代码替换成INT 3指令,同时让gdb捕获这个signal并做相应的处理:包括执行被替换掉的指令,并跳转回来。
因此,只要断点不被走到,那么断点就不会影响程序的运行效率;因为程序的其他地方都没改变,该怎么运行还是怎么运行。gdb在遇到断点之后可以做很多事情
包括:
停下来等用户处理
自动继续
自动执行一… -
现在总结一下:其中牵扯到lea指令,mov指令,[]
一.lea指令:
对于寄存器来说:第二个操作数是寄存器必须要加[],不然报错,这里lea就是取[寄存器]的值,如:
mov eax,2
lea ebx,[eax];执行后ebx=2
mov ebx,eax;等同于上句
lea ebx,eax;编译器报错: error A2070: invalid instruction operands对于变量…
-
FS寄存器指向当前活动线程的TEB结构(线程结构)
偏移 说明
000 指向SEH链指针
004 线程堆栈顶部
008 线程堆栈底部
00C SubSystemTib
010 FiberData
014 ArbitraryUserPointer
018 FS段寄存器在内存中的镜像地址
020 进程PID
024…