汇编学习笔记

工具:DTDebug(VT-O)专业版V1.0.025主要有四个窗口:反汇编窗口、寄存器窗口、堆栈窗口、内存窗口。

汇编语言的基础符号

例1. ADD EAX,1往 EAX寄存器里面的数字加1 Mov Eax,0x2将2加入到寄存器EAX当中

(1)  在程序下断点,找到位置【win32 messagebox】堆栈的栈顶存的是当程序调用该函数的时候的返回的地址。

(2)    Jcc (eflags)标志寄存器决定程序的去向。


汇编学习笔记_第1张图片
图1

Cf 进位标志 —— 如果运算结果产生了一个进位或者错位,那么值为1,否则为0

Pf 奇偶标志 —— 反应运算结果中1的个数的奇偶性 0表示为奇数 1表示为偶数

Af  辅助进位标志 —— 在字操作是发生地位字节向高位字节进位或者错位的时候气质位1,在字节的操作时候发生低四位向高四位的进位或错位的时候其值为1

Zf 零标志 ——用来反映运算结果是否为零如果其值为0 为1

Sf 符号标志 ——用来反映运算结果的符号位,它与运算结果的最高位相同

Of 溢出标志 ——用于反映有符号数的加减乘除运算的结果是否溢出,如果运输案的结果超出了当前运算的为数的范围那么称之为溢出则Of的值表示为 1


汇编学习笔记_第2张图片
图 2

**************************************************************************************

计算机的加法运算其实就是做位的运算。 计算机的减法的计算过程也可以是做特殊的加法运算。乘法是多个相加,循环多个加法运算就是做乘法运算,除法运算其实就是做乘法运算,判断多少次该运算可以得到这个数字,就是做除法运算的本质。

例如做减法运算4-5=?即 4+(-5)

1. 异或 OX

0000 0100

1111 1011

-------------  异或 OX

1111 1111

2. 判断有没有进位

0000 0100

1111 1011

------------- 若计算结果没有进位,则上面的计算结果就是运算结果值(00000000)

0000 0000


寄存器

寄存器32位EAX、16 位AX 、8位 AL,其中:

4 个数据寄存器(EAX、EBX、ECX、EDX),即 通用寄存器

2 个变址和指针寄存器(ESI、EDI) 

2 个指针寄存器(ESP、EBP)

6 个段寄存器(ES、CS、SS、DS、FS、GS)

1 个指令指针寄存器(EIP) 

1 个标志寄存器(EFlags)

内存 进程的内存映射到了物理内存再映射到其他的内存设备和内存条

使用mov 指令移动数据的时候必须保持两边的数据宽度一样

1. dword表示两个字节 mov

    EAX ,Dword PTR DS:[0x 11111111]

2. Mov Dword ptrds:[地址],16进制的数据

3. mov eax ,dwordptr ds :[ Ecx +4 ]把ecx 里面的数据加4的地址下的只存到eax 里面

4. reg +reg*{1 , 2 ,4 ,8}

5. reg +reg*{1 , 2 ,4 ,8}+立即数

大端存储数据高位在低位,数据的低位在高位,小端存储,数据地位在低位,数据高位在高位。

内存 db 查看一个字节的数据, dw 查看两个字节的数据, dd 查看四个字节的数据。

数据的地址在内存里的地址连续的

ADD指令加法的指令

SUB 减法的指令

And 与运算的指令

or 或的运算的指令

XOR异或运算的指令

NOT非的操作的指令

MOVS指令从内存到内存之间的移动movs byte ptr es:[edi],byte ptr ds:[esi]

EFL标志寄存器 dc(10) 位表示方向为 0 为增加 1为减小

STOS将AL/AX/EAX的值存储到EDI指定的内存单元。

REP指令按照计数寄存器ECX的值重复执行字符串指令。

ESP堆栈地址寄存器使用过堆栈地址需要在ESP里面记录当前使用后的地址。

PUSH指令将数据压入堆栈,然后改变ESP寄存里面的向上移动。

POP从栈顶拿出数据,存入指定的容器里容器可以是寄存器也可以是内存,然后ESP值向下移动。

EIP存的是CPU下一次执行的内存地址,JMP指令就是修改EIP寄存器的值。

CALL指令(按F7)把下一行的指令的地址压入堆栈。

RETN 指令把栈顶的值取出来放到EIP cpu寄存器里面,然后栈顶向下移动。



DTDBUG  F7单步进行、F8按函数执行、F2下断点(INT 3 当CPU遇到这个指令就停止运行)

汇编中的函数就是一些指令的集合,大多使用CALL指令来完成操作,最后使用RETN命令返回函数。EAX寄存器通

常放函数的返回结果。函数传递参数可以使用寄存器传递、堆栈传递参数,可以传递多个参数。堆栈平衡,使用完

堆栈之后需要恢复堆栈以前的样子,如果有传递参数,当函数执行完毕应该处理传递参数导致堆栈的变化。

你可能感兴趣的:(汇编学习笔记)