吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 3048|回复: 18

[转载技术] 第三章-寄存器

  [复制链接]
Shark恒 发表于 2015-1-20 15:39 | 显示全部楼层 |阅读模式

使用OllyDbg从零开始Cracking
第三章
(翻译:BGCoder)

什么是寄存器,有什么作用
寄存器用来做什么,什么是寄存器?处理器在执行程序时需要一个助手。当执行一条指令时,例如将两个内存单元中存放的内容相加,处理器需要先把其中一个的内容置入寄存器,然后再把另一个内容置入,这是使用寄存器的一个例子(译注1)。
ESP指向堆栈最顶端的地址,现在来看一下这个CrueHead'aCrackMe(译注2)。

image002.jpg

ESP为12FFC4,如果你看一下OllyDbg的堆栈窗口,

image004.jpg

我们看到寄存器显示了在我们的堆栈最上方的值,打个比方,它就是一堆信件最上方的那一封。
EIP– 另一个非常重要的寄存器,它指向当前将要执行的指令。

image006.jpg
我们在下面截图中看到CrackMe第一条将执行的指令的地址为401000,很明显,这正是EIP所指向的值。

image008.jpg
如果你按下F7,那么将执行第一条指令,然后切到第二条将执行的指令。

image010.jpg

EIP现在为401002,在反汇编窗口第一条指令已经走过,现在位于第二条上。

image012.jpg
其它寄存器包含有不同的值来为帮助处理器执行指令提供服务。
记住OllyDbg在哪里显示这些寄存器。

image014.jpg

在这里,显示有EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI和EIP等
它们都被称为32位寄存器。

在OllyDbg中,它们的内容以十六进制显示。例如,EAX的最小值为00000000,最大值为FFFFFFFF,用二进制表示将是11111111111111111111111111111111。

image016.jpg
image018.jpg
我们看到它为32位,每一位可被设为0或1,所以这些寄存器被称为是32位的。
你可以在汇编语言教材中查阅参考这些32位寄存器。

现在,在OllyDbg中完成一个使用寄存器的例子,来获得一些实践经验。
打开OllyDbg,加载CrackMe(也可以加载其它的程序)。把EAX更改为我们需要的值,这里假如为12345678

image020.jpg

在打开的窗口的Hexdecimal处填入12345678。

image022.jpg

就在这里:
image024.jpg
然后点击OK。

image026.jpg

现在EAX变为了我们的期望值,OllyDbg将变化的值用红色高亮显示。

如果你要用到EAX寄存器的一部分,在这个例子中,AX是EAX的一部分,是16位寄存器,例如,在上述例子中,它的值为5678,我们在CommandBar中进行输入也可以看到。
?AX(问号也可用于查询寄存器的值)
image028.jpg

当你按下回车键后,
image030.jpg
看到了5678,AX包含的值为EAX的后4位数字。还可继续分为AL和AH(译注:16位寄存器AX的低八位和高八位),它们的值在OllyDbg中同样能够观察到。
?AL

image032.jpg

?AH

image034.jpg

或者这样更直观,如果EAX=12345678,那么AX就是它的后四位数字。

image036.jpg

AH就是数字5和6的组合,AL就是最后两位。

image038.jpg

同样的,EBX可被分为BX,BL和BH。几乎所有其它寄存器都可以如此分割(译注3)。

如何更改寄存器的值
我们已经看到了,OllyDbg可以更改寄存器的值。我们在EAX上进行的一切操作同样适用于其它寄存器:检查寄存器,看哪一个是你想要更改的,然后右键点击它选择Modify。但EIP是唯一一个例外的,它指向下一条将要执行的指令。
要改变它的值,需要如下操作。
EIP指向将要执行的指令,只需简单的在反汇编窗口中选择新的指令起始点
image040.jpg
一旦选择,例如40101A,在其上点击鼠标右键,选择New origin here(汉化版翻译为:此处为新的EIP),EIP就会改变为40101A,这样,程序就将会从这条指令执行。
image042.jpg
在这里你会看到,EIP指向了40101A。

image044.jpg
什么是标志寄存器
就像我们在第一章看到的,在OllyDbg寄存器信息的下方显示的就是标志寄存器。

image046.jpg
我们看到,这里的标志分为C,P,A,Z,S,T,D和O。我们还看到,它们只能是两个数字值,0和1。某一具体指令的执行可以改变它们的含义。

我们一起来看看这些标志:
1O标志(溢出标志)溢出标志在当操作改变了符号位,返回错误值时被设置(译注4)。看一下以下在OllyDbg中的例子,同样使用CrueHead'a的CrackMe。
我们按照前面讲述的方法将EAX的值改为7FFFFFFF,即最大的正数。

image048.jpg
现在使其加1,其和将超过最大正数,我们还知道,80000000对应的是一个负数。这需要打开一个能够写入指令的对话框(译注:本例中请在反汇编窗口的00401000指令上按空格键,或在反汇编代码那一列的指令上双击)。

image050.jpg
在里面写入:ADDEAX,1。

image052.jpg
写完后点击Assemble,就可以看到原来在00401000处的指令变为了我们输入的指令。

image054.jpg

ADDEAX,1,执行这条指令会发生什么?它将EAX加1,并将值返回到EAX。F7将完成这条指令,O标志现在等于0
image056.jpg

在F7后,看看发生了什么,EAX变为80000000,其数字符号更改。
O标志被设置为1,该标志的目的:当指令的结果超出了它可能存取的最大值,将被设置。

image057.jpg
2A标志(FZ进位标志)完成操作后,用其它的某种形式对其进行记录。目前我们不需要关心此标志。
3P标志(奇偶标志)
如果指令的结果用二进制表示,该二进制数中的1的总个数为偶数时,P标志被设置。例如:1010,1100,1111000.
为做个试验,我们已经在OllyDbg中设置了指令:ADD EAX,1(译注5),再一次执行该操作。选择401000行,右键点击选择New orgin here,如果按下F7,将执行该指令。

image059.jpg

现在,EAX中包含的值为00000000,P标志等于1,(这里是先前指令的结果),让我们看一下,当向EAX中加入1时发生了什么。
按下F7

image061.jpg
我们看到,P标志变为了0,EAX中值用二进制表示为1,其二进制格式含有1的个数是一个,是奇数。
再次返回,选择ADD EAX,1这行,右键点击该行,选择New originhere,按F7,再次加1。

image063.jpg

我们看到,EAX先前为1,现在为2,其二进制为10,1的个数为奇数,P标志未被设置。
重复上述操作,再加1,

image064.jpg

现在EAX包含的值为3,二进制为11,现在它的结果包含偶数个1,奇偶标志被设置。从这里,我们可以考到该标志的设置基于以下事实:当指令结果的二进制格式含有偶数个1时,被设置。
4)Z标志(零标志)
这是在Cracking过程中最著名最有用的一个标志。当运算产生的结果为0时被设置。

让我们返回到401000处的指令:ADD EAX,1。(右键点击New origin here),先设置EAX的值为FFFFFFFF,即十进制-1,当按下F7运行指令ADDEAX,1,使结果为-1+1,等于0,零标志被设置。
我们看到按下F7后,EAX的值为0,所以,如果操作的结果为0,Z标志被设置为1。
image066.jpg
image068.jpg

我想现在应该清楚了,当指令的结果为0时,该标志被设置。

5)S标志(符号标志)
这个标志在运算结果为负时设置为1。来看一下它是如何运作的,改变EAX的数值为FFFFFFF8,它等于十进制-8
image070.jpg

再次按上述操作选择New originhere,然后F7再次执行ADDEAX,1。结果为FFFFFFF9,等于十进制-7,是个负数,所以符号标志位被设置。

image072.jpg

按F7执行指令,S标志位被设置,标志位为1,很清楚:负结果导致S标志被设置。

6)C标志进位标志
(无符号运算的结果)在超过最大数值时设置,可能是寄存器的值,例如,将EAX设为FFFFFFFF,然后加1,我们会看到,进位标志位设为1。

image073.jpg

7)T,D标志和其它
我现在还不打算解释它们的用途,这是一个相对复杂的话题。我们对它们也不太感兴趣。所以目前可以先着手相对更简单问题,此话题将留到以后探讨。
这样,我们已经对寄存器和标志位有了一定的理解。接下来,你可以逐个回顾一下其它指令,尽管到现在为止,我们仅看到了一个指令:ADD

如果看完本文后,你还存有疑惑,请用指令ADDEAX,1跟随本文的操作(以改变标志位的值)来进行实践。
对基础知识的深刻理解是非常重要的,所以请不要倦于实践操作,对待本文同样如此。

译注1
寄存器是CPU内部的高速存储单元,访问速度比常规内存快很多。
译注2
CrackMe仍然来自第一章,因本章讲述的是寄存器基础知识,所以您可以用其它程序代替。此文件随本文附带。
译注3
仅用于EAXEBX,ECXEDX,其它寄存器可含有低16位寄存器,但不能进一步再分。
译注4
标志被设置,意思是说使其等于1,被清除,则使其等于0。
译注5
1.更改寄存器EAX00000000。
2.将4010000处改为ADD EAX,1
随文附件
1.       CrackMe:ollydbg01-Crackme.zip
翻译说明:
该系列教程目前官方已更新到第47章。本文原文为俄语,译者不才,斗胆翻译,采用了能用的所有手段。虽经本人严加审校,但难免讹误。有些词句加入了译者的理解,所以部分内容可能与原文有所出入。翻译本文也是译者学习的过程,所以错误在所难免。如发现错误,敬请指正,以免误人子弟。
该系列教程链接:http://wasm.ru/series.php?sid=17
本文原文链接:http://wasm.ru/article.php?article=ollydbg03


本系列文章汉化版转载看雪论坛

感谢原作者:RicardoNarvaja(西班牙人)
原作者个人主页:http://www.ricardonarvaja.info/

感谢热心翻译的朋友:
1~3章译者:BGCoder
4~58章译者:安于此生

全集配套程序下载地址:
链接: http://pan.baidu.com/s/1eQzTWfo 密码: vytv



评分

参与人数 15HB +13 THX +8 收起 理由
花盗睡鼠 + 2 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
24567 + 1
太阳神 + 2 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
Jawon + 1
一路走来不容易 + 1
虚心学习 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
消逝的过去 + 1
天天的学 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
三月十六 + 1
weiran324 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
hetao8003200 + 1
hackysh + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
hnymsh + 1
lies + 1
雨季 + 2 + 1 评分=感恩!简单却充满爱!感谢您的作品!!.

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
1040321413 发表于 2018-9-9 21:00 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
时光无声 发表于 2018-9-29 21:19 | 显示全部楼层

学到了新知识,恒大用心了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
方长 发表于 2018-11-30 11:39 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
hackysh 发表于 2022-2-8 11:10 | 显示全部楼层

用于EAX,EBX,ECX,EDX,其它寄存器可含有低16位寄存器,但不能进一步再分

学习了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
hetao8003200 发表于 2022-2-8 12:56 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
一道彩虹屁 发表于 2022-2-8 19:09 | 显示全部楼层


感谢楼主分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
头像被屏蔽
别管我了行 发表于 2022-2-28 06:36 | 显示全部楼层

提示: 作者被禁止或删除 内容自动屏蔽
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
ghostxu 发表于 2022-3-11 17:01 | 显示全部楼层

新技能已get√
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
weiran324 发表于 2022-3-31 23:36 | 显示全部楼层

学习学习
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表