第四章-汇编指令

                       第4章-汇编指令

                【安于此生译】

之前的章节主要是理论知识,现在我们要在OllyDbg中实践一下,为后面打开基础。

OllyDbg中几乎所有的标志我都有考虑,如果你遇到了我没有给出的指令,你可以查阅更加全面的汇编指南。

NOP（无操作)

运行这条指令不会对寄存器,内存以及堆栈造成任何影响,英文单词的意思是”无操作”，也就是说,它没有特殊的用途。例如，你用一个短指令来替换一个长指令的话，如果处理器没有错误,多余的空间将会被NOP填充。

适当数目的nop指令可以将其他指令完全替换掉。

下面使用OllyDbg重新载入CrueHead'а(CrackMe的作者)的CrackMe。

我们可以看到反汇编的源代码,如上图第一条指令是PUSH0,占两个字节,在这条指令上面单击鼠标右键选择Assemble.

或者直接使用快捷键-空格键,在弹出窗口的编辑框中输入NOP。

写入NOP指令后单击Assemble按钮。

这里我们可以看到OD设计的非常智能,考虑到PUSH指令占两个字节,OD会使用两条NOP指令进行替换,而不是使用一条NOP进行替换。

现在,在原来PUSH 0的地方显示的两条NOP指令,单击F7,指令一条NOP指令,可以看到,这里只改变了EIP(保存了下一条要执行指令的地址)寄存器的值,并没有影响到其他寄存器,堆栈或者标志位。

现在我们需要在数据窗口查看这两个字节,它们的内存地址分别是401000和401001。

在数据窗口中,鼠标右键选择-“Go to”-“Expression”，输入你需要转到的地址。

这里我们需要输入401000。

红色突出显示的是刚刚修改过的字节。前两个是90,然后E8，FF和04，00,00。这是一个Call指令的所有剩余字节。

OD可以撤销我们修改的指令吗?

呵呵,当然啦。

在数据窗口或者反汇编窗口中,鼠标拖选中两个字节。

然后单击鼠标右键,选择“UNDOSELECTION”。

这样就恢复了原来的PUSH指令。

在数据窗口中的话,你就可以看到它原始的字节了。

以上是关于NOP指令的所有内容。

堆栈相关指令的说明

我们之前说过,堆栈就像一个信箱一样,越顶部的信越先被取出来。

PUSH

PUSH指令-将操作数压入堆栈中。我们可以看到,CrueHead'а(CrackMe的作者)的CrackMe的第一条指令就是PUSH指令。

“PUSH 0”指令将把0存入到堆栈的顶部,此时并没有压入堆栈,指令执行后,我们看看堆栈如何变化。堆栈的地址在你的机器上可能会有所不同,但效果是一样的。

堆栈地址在我的机器上是12FFC4,可能与你机器上的不同，因为堆栈每次可能放置在不同的位置,其初始内容也可能有所不同,即这里的7C816D4F和你的也可能不同。按F7,将0压入堆栈,堆栈顶部的就是0了。

按下F7,堆栈顶部我们可以看到加入了0。下面的12FFC4中仍然是7C816D4F,堆栈中的其他值并没有改变。

主要的变化就是堆栈的顶部变成了12FFC0(这是PUSH 0指令执行的结果),新压入的数据总是在堆栈的顶部,并不会改变下面的数据。

这里也可以看到,ESP的值变成了12FFC0。

当然PUSH指令不仅仅可以压入数值:

PUSH EAX的话,那么堆栈的顶部将保存EAX的值。

同样的适用于其他的寄存器，你也可以压入特定内存地址中的值。

PUSH [401008]

注意,这和下面这条指令的解释是不同的。

PUSH 401008

(没有方括号)

如果你使用的“PUSH 401008”,那么堆栈中将被放置401008。

执行以后,我们可以看到下面的结果:

如果换成是“PUSH [401008]”

[401008]表示401008这个内存单元中存储的内容,这个时候我们得去数据窗口中查看它的值是多少。

在数据窗口中鼠标右键单击-Go to-Expression,输入401008,可以看到:

这四个字节是CA 20 40 00。按F7执行这条PUSH执行。

堆栈中我们可以看到在数据窗口中颠倒过来的值,即,它们被倒序放置。

读/写的内容在内存中倒序放置时处理器的特点之一。要怪你只能怪处理器的厂商了，嘿嘿。

通常情况下,没有用方框号括起来的只是一个数字。

现在我们知道,OD中“PUSH[401000]”的意思了。

PUSH DWORD PTR DS:[401008]

像这样的,除非有明确规定,否则OD都是认为你要操作的是4个字节的内存,也就是DWORD。其他格式会在其他指令中予以说明。

POP

POP指令是出栈:它会取出堆栈顶部的第一个字母或者第一个值,然后存放到指定的目标地址内存单元中。例如,POP EAX从栈顶中取出第一个值存放到EAX中,随后的一个值随即变成栈顶。

我们还是看到CrueHead'а的CrackMe的开始的语句:

将第一条指令替换成“POP EAX”,注意在第一行,按空格键:

以下是执行此操作,堆栈变化情况的说明:

ESP中存放的是12FFC4,它存放的是堆栈的顶部的内存地址。

我们可以看到EAX的值是0(我这里的情况)。

按F7键。

我们可以看到,原来堆栈顶部的值消失了,现在ESP为12FFC8。

原本在堆栈顶部的7C816D4F现在到了EAX中。

同样地,如果用户是“POP ECX”,那么上面的值将会到ECX寄存器中或者你指定其他寄存器中。

我们这里就研究了入栈和出栈指令。

PUSHAD

PUSHAD指令把所有通用寄存器的内容按一定顺序压入到堆栈中,PUSHAD也就相当于’PUSH EAX,PUSH ECX,PUSHEDX,PUSH EBX,PUSH ESP,PUSH EBP,PUSH ESI, PUSH EDI’。

让我们来看看。

再次载入CrueHead'а的CrackMe,调用右键菜单来修改指令为PUSHAD。

这是我当前寄存器组的情况。

按下F7键,看看现在堆栈的情况:

看到所有寄存器的值都被压入堆栈了。12FFC4存放的是之前堆栈顶部的值,然后上面就是0(PUSH EAX),12FFBC存放的是ECX的内容,接下来是EDX寄存器的内容,以此类推。

POPAD

该指令与PUSHAD正好相反,它从堆栈中取值,并将它们放到相应的寄存器中。POPAD等价于“POP EDI,POP ESI,POP EBP,POPESP,POP EBX,POP EDX,POP ECX,POP EAX”。

正如前面的例子,我们将第一条指令修改为POPAD:

由于堆栈中保存的是之前寄存器组的值,执行POPAD其返回原来的状态。

因为之前执行了PUSHAD,所以恢复的寄存器及其值和之前相同。

PUSHAD-POPAD指令经常被使用,例如:某个时刻你需要保存所有寄存器的内容,然后修改寄存器的值,或者进行堆栈的相关操作，然后使用POPAD恢复它们原来的状态。

也有以下的用法:

PUSHA 等价于 'PUSH AX, CX, DX, BX, SP, BP,SI, DI'。

POPA 等价于 'pop DI, SI, BP, SP, BX, DX, CX,AX'。

PUSHA,POPA和PUSHAD,POPAD就像姐妹一样,只不过它们在16位程序中使用,所以我们不感兴趣,OllyDbg是一个32位程序的调试器。

赋值指令的说明

MOV

该指令将第二个操作数赋值给第一个操作数,例如:

MOV EAX, EBX

EBX值赋值给EAX。继续用OD载入CrueHead'а的CrackMe。

两个寄存器的值是不一样的,我们只是看寄存器:

在我的机器上,EAX为0,EBX为7FFD7000。这些初始值有可能与你机器上的不一样,我们只是看赋值的过程,按F7键,EBX的值就赋值给了EAX。

明白了吗?

MOV指令操作数有很多可以选择,例如:

MOV AL, CL

这条指令时将CL的值赋值给AL。在OD中写上这句。

寄存器:

请记住，AL-是EAX的最后两位数字以及CL-是ECX的最后两位数字。按F7

可以看到只是将B0赋值给AL了,并不改变EAX和ECX的其他内容,即EAX的最后两位数字。

也可以给内存单元赋值,反之亦然一个寄存器的内容。

上图这种情况下,将要给EAX给的值是405000这个内存单元中的值,正如前面提到的,DWORD意味着你必须移动4个字节。如果该指令给出了一个不存在的内存单元可能会导致错误。我们可以用OD很容易的检查出来。

在数据窗口中右键单击选择Go to-Expression转到405000处.

可以看到内存中的内容是-00100000。由于内存中内容是倒序存放的,那么EAX中将被装入00001000,按下F7键,看看会发生什么。

这里是1000，是从内存中读取出来的。现在,如果我们想写一个值到这个地址:

MOV DWORD PTR DS:[400500],EAX

写入该指令。

在数据窗口中查看405000:

然后,按F7键发生异常:

注意异常的描述,是由于我们要写入400500这个内存地址导致的内存访问异常。

如果移动的是4个字节使用DWORD,移动两个字节的话使用WORD。

例如:

MOV AX,WORD PTR DS:[405008]

将405008内存单元中的两个字节赋值给AX。这种情况下,我们不能用EAX,这里移动的只有两个字节,所以你必须使用一个16位的寄存器。

在数据窗口中查看405008.

按F7赋值给AX的只有两个字节。如下:

在AX中存放的是内存中相反的内容,EAX的其他部分并没有改变。

同理,一个字节使用BYTE。

MOV AL, BYTE PTR DS:[405008]

这种情况下,只有最后一个字节赋值给AL了，即08。

MOVSX (带符号扩展的传送指令)

第二个操作数可能一个寄存器也可能是内存单元,第一个操作数的位数比第二个操作数多,第二个操作数的符号位填充第一个操作数剩余部分。 下面是一个例子。

这里我们还是在OD中载入CrueHead'а的CrackMe。

这里我不会说太多，因为我想在座各位自己来计算这个操作数求值,嘿嘿。

在OD中，反汇编窗口和数据窗口中间有一个解释窗口。

这里我们可以看到,解释窗口向我们展示了我们操作数里面存放的值。我这里,BX存放的是F000。

同时可以看到,EAX的值为0,所以这些东西总是可以帮助我们理解OD要执行的指令(我希望你已经掌握了其中的概念和寻址方式,嘿嘿)。

按F7键。

看到AX,BX中存放的是F000，并且EAX剩余部分填充为了FFFF,因为F000是一个负的16位数字。如果BX存放1234,EAX将等于00001234，即左边的字节将会被0填充,因为1234是一个正的16位数字。

16位数和32位数的正数和负数的概念是一样的,只不过16位数的范围是0000到FFFF。0000到7FFF是正数,8000到FFFF是负数。

如果我们把BX修改为7FFF,把EAX修改为0，然后执行这条指令会发生什么呢。

AX被赋值为了7FFF,其余部分被填充为0了-因为7FFF是正数。我们还可以把BX修改为8000(负)。

按F7键。

AX被赋值为了8000,剩余的部分为FFFF,因为8000是负数。

MOVZX (带0扩展的传送指令)

MOVZX类似于前面的语句,但是这种情况下,剩余的部分不根据第二个操作数的正负来进行填充。我们这里不提供范例,因为和上面是相似的,剩余的部分总是被填充为0。

LEA (取地址指令)

类似于MOV指令, 但是第一个操作数是一个通用寄存器,并且第二个操作数是一个内存单元。当计算的时候要依赖于之前的结果的话,那么这个指令就非常有用。

我们在OD中写入以下指令:

在这种情况下,有括号,但不需要获取ECX+38指向内存的值,只需要计算ECX+38的值即可。我这里,ECX的值为

12FFB0。

在这个例子中,LEA指令就计算ECX + 38的值,然后将计算的结果赋值给EAX。

解释窗口中显示了两个操作数。

它表示,该操作数是12FFE8,也就是ECX+38的值,并且EAX的值为0。

按F7键。

指定的地址被存放到了EAX中，因为完成的是赋值操作,所以我们会认为操作数是内存单元中的值，但是实际上

操作数仅仅是内存单元的地址,而不是里面的内容。

XCHG (交换 寄存器/内存单元 和寄存器)

该指令交换两个操作数的值,例如:

XCHG EAX,ECX

EAX的值将被存放到ECX中。反之亦然。我们在OD中来验证这一点。

在我的机器上,EAX的值为0,ECX的值为12FFB0。

按F7键,看到他们交换了数值。

你也可以使用这个指令来交换寄存器和内存单元的值,本节之前有提到。

按下F7键:

这个例子我们在MOV指令使用过,这里我们对该内存地址没有写权限。

好了,这就是常用指令的第一部分,是非常有用的以及有趣的,我给出的例子能够体现这一点。在接下来的部分,我们将继续研究指令。

本系列文章汉化版转载看雪论坛

感谢原作者:RicardoNarvaja(西班牙人)

原作者个人主页：http://www.ricardonarvaja.info/

感谢热心翻译的朋友：

1~3章译者:BGCoder

4~58章译者:安于此生

全集配套程序下载地址：

链接: http://pan.baidu.com/s/1eQzTWfo 密码: vytv

前排妹纸出售

已拿下2楼！！

读/写的内容在内存中倒序放置时处理器的特点之一。小端排序？

进来学习！

再来温习！

LEA (取地址指令)

挺有意思的

学习学习，，

谢谢分享，都是基础的东西，，，喜欢