逆向工程权威指南学习笔记

声明：本文整理自《逆向工程权威指南（上册）》

非常乱，不行整理了。

第三章

RET 将控制权交给调用程序（将控制权交给操作系统）

编译器在字符串常量的尾部添加了00H，原因是为这个字符串常量添加结束标志（即数值为0的单个字节）

push offset $SG3803

通过push，把字符串指针推送入栈。

call _printf

printf函数结束之后，程序的控制流返回到main函数，字符串地址仍然在栈中，需要调整栈指针（ESP寄存器的值）来释放这个指针。

add esp，4；等价于POP 寄存器

把esp寄存器的值加4来释放这个指针。加4的原因是x86内存地址使用32位（即4字节），在x64的平台上，就得加8。

IntelC++编译器使用POPECX而不是add来释放数据栈，是因为POP ECX对应的Opcode比add esp的opcode要短。

main函数的最后一项任务是让eax的值为0

 

AND ESP,0FFFFFFF0H

令ESP的值向16字节边界对齐（成为16的整数倍）。主流的编译规则规定“程序访问的地址必须向16字节对齐（被16整除）”

SUB ESP，10h

在栈中分配0x10bytes，即16字节。

LEAVE指令，等效于“MOVESP，EBP”和“POPEBP”两条指令。此指令调整了数据栈指针ESP，并将EBP的数值恢复到调用这个函数之前的初始状态。程序段在开始部分就对EBP进行了操作，所以函数要在退出之前恢复这些寄存器的值。

 

x86-64硬件平台上，寄存器和指针都是64位的，存储在R-字头的寄存器里。编译器会优先使用寄存器传递部分参数，再利用内存传递其余的参数。windows64的程序还会使用RCX、RDX、R8、R9这四个寄存器来存放函数函数参数。   

ARM模式

STMFD SP！，{R4,LR}

把R4寄存器和LR寄存器的数值放到数据栈中，此指令首先将SP递减，在栈中分配一个新的空间以便存储R4和LR的值。STMFD可以用来在指定的内存空间存储多个寄存器的值。

ADR R0，ahelloworld

先对PC进行取值操作，将字符串的偏移量与PC值相加，将结果存储到R0之中

push ebp；在栈里保存EBP寄存器的内容

BL _2printf

BL实施的操作是1.将下一条指令的地址写入LR寄存器2.将printf函数的地址写入PC寄存器，引导系统执行该函数。

CISC（复杂指令集）和RISC（精简指令集）在工作模式上的区别，就是如果拥有复杂指令集，操作系统可以利用栈存储返回地址。

Mov R0，#0

将R0寄存器清0

LDMFD SP！，R4,PC

把栈里存储的PC的值和R4寄存器的值恢复回来。

mov ebp，esp；将ESP的值复制到EBP寄存器

sub esp，x；修改栈的高度，以便为函数的局部变量申请存储空间。

在函数执行期间，EBP是函数访问局部变量和函数参数的基准值。

mov esp，ebp

pop ebp

RET 0

释放栈中申请的内存，还原EBP寄存器的值，将代码控制权还原给调用者函数

 

第5章 栈

ARM的栈分为递增栈和递减栈。递减栈的首地址是栈的最高地址，栈向低地址增长，栈指针的值随栈的增长而减少。递增栈则相反。

 

栈的用途：

1.保存函数结束时的返回地址。

call指令结束后返回地址将被保存在栈里；在call所调用的函数结束之后，程序将执行无条件跳转指令，跳转到这个返回地址。

2.参数传递

cdecl，通过栈指针获取其所需要的参数。

3.存储局部变量

向栈底调整栈指针，函数可在数据栈里分配出一片可用于存储局部变量的内存空间。

4.alloca函数

alloca函数直接使用栈来分配内存，这是他与malloc的区别。程序不需要特地使用free（）来释放由alloca函数申请的内存。

ESP-0xC	第2个局部变量，在IDA中为var_8
ESP-8	第1个局部变量，在IDA中为var_4
ESP-4	保存的EBP值
ESP	返回地址
ESP+4	arg1，在IDA中记为arg_0
ESP+8	arg2，在IDA中记为arg_4
ESP+0xc	arg3，在IDA中记为arg_8