《从汇编语言到windows内核编程》笔记

时间:2022-06-05 11:50:17

第1章

推荐书籍

Reversing:Secrets of Reverse Engineering Eldad Eilam;Elliot Chikofsky


汇编阅读笔记

esp存储当前栈顶地址(其实是栈底,因为地址是越来越小变化的),每次调用函数上层函数栈顶地址保存在ebp中,所以每个函数开始都是这样:

push ebp

mov ebp, esp

.....

move esp, ebp

pop ebp

函数执行开始的时候,变量p1、p2、p3地址分别为ebp+8 ebp+0ch ebp+10h

函数局部变量,例如inti,j;通常为ebp-4、 ebp-8。。。。


第2章

2.2思考与练习

int myfunction(int a, int b)
{
int d = a+b;
int i = 1;
int c = 0;
while (c<100)
{
c+=i;
}
switch (c)
{
case 0:
d = 1;
case 1:
d = c;
break;
default:
d = 0;
}


return d;
}


第3章 联系反汇编C语言程序


for(int i=0; i<2; ++i)
{
p3[i*2] = p1[i*2+1]*p2[i*2] + p2[0]*p1[2*i];

p3[i*2+1] = p1[i*2+1]*p2[3] + p2[1]*p1[i*2];

p4 += p3[i*2];

p4 += p3[i*2+1];
}

int j = rand()

switch(j)

{

case 100:

printf("cnt is 100");

case 110:
printf("cnt is 110");

default:

printf("nothing");

}




// 以下为考虑过程,可忽略
ecx =  p3
edx = p1
ebx = p4
esi = p2
edi = [p2+8]
edi *= [p1+8*i+4]
ebp = [p2]
ebp *= [p1+8*i]
edi += ebp
[p3] = edi
edi = [p2+0ch]
edi *= [p1+8*i+4]
ebp = [p2+4]
ebp *= [p1+i*8]
edi += ebp
ebp = [p3]
ebp = edi;
ebx += ebp
[p3+4] = edi
eax--
ecx+=8
;循环过程中寄存器值变化:
;ecx += 8

;ebx +=  edi