想做外挂?先把汇编学好吧(汇编 软件)
haoteby 2025-05-05 15:50 12 浏览
今天,我们来通过反汇编看一下函数调用的过程(顺便学习下汇编),如下图,为一个函数调用的例子。主函数里面调用了test()函数。
在X86环境下,进入调试模式,反汇编代码。然后我们从主函数看起,
前面一些汇编代码都是编译器在调试模式下自动生成的调试信息代码,我们主要看画红线的两句代码。哦,首先要看一下此时的栈空间状况,此时的栈空间由EBP和ESP两个寄存器来决定,EBP是栈底的内存地址,ESP是栈顶的内存地址。看一下吧。
此时可以画出这么一幅内存结构图。
当执行一下语句时,很明显看到,把3这个值放到ebp-8的内存单元中,占四个字节(dword)。
然后执行下一条指令。
调用test函数,汇编代码为call 00D7121C,很明显test函数的地址在00D7121C。call指令还有一个隐含的操作,就是把call指令下面的一条指令的内存地址压入栈中,方便函数调用结束后找到下一条指令的位置。即将00D71844压入栈中。然后栈顶指针esp往上走。
然后开始执行test函数,test函数的反汇编代码如下。还是看主要核心代码。
执行标号为1的指令,push ebp。
将ebp的值入栈。ebp的值为0X010ff82c。
然后执行2号指令,mov ebp,esp,此时ebp的值和esp的值相同,栈底指针和栈顶指针处于同一水平线上。
紧接着执行3号指令,sub esp,0CCh,这一句指令将esp减去0CC然后再赋值给esp,它的含义就是:给test函数分配该函数的栈空间,大小为0CC个字节。
然后执行4、5、6号指令,分别将ebx、esi、edi寄存器压入栈中,这三句指令就是为了保护现场用的,因为在test函数内可能会改变之前的寄存器的值,为了能够让test函数调用结束后,这些寄存器的状态还能回到原来的样子,所以要预先进行一份保留。
然后执行7号指令,mov dword ptr [ebp-8],2。很明显,将2的值放到ebp-8的内存单元中,占4个字节。ebp-8的内存地址位于test函数的栈空间中。
然后执行8、9、10号指令,把之前保存的寄存器值给重新取出来,恢复现场。
然后执行11号指令,add esp,0CCH,还记得之前是怎么分配test函数的栈空间的吗,对就是sub esp,0CCH,现在这一条add esp,0CCH指令就是为了回收之前分配的栈空间。此时ebp和esp又回到了同一水平线上。
然后执行13号指令,pop ebp,就是把调用test函数之前的栈起始内存地址弹出来,此时ebp的值为010ff82c。
最后执行14号指令,ret,此时会进行一次pop操作,将之前保存的调用test函数的指令的下一条指令的内存地址(00D72844)弹出,此时CPU指针指向该位置,继续执行后续代码。并且,栈底指针,栈顶指针位置回到函数调用前的状态,调用过程结束。
可以看出,一次函数调用过程,在底层居然做了这么多操作,而且函数调用会为每个函数调用分配栈空间,一旦调用结束之后,该栈空间便被回收掉。
相关推荐
- 网站seo该怎么优化
-
一、网站定位在建设一个网站之前,我们首先要做的就是一个网站清晰的定位,会带来转化率相对较高的客户群体,我们建站的目的就是为了营销,只有集中来做某一件事,才会更好的展现我们的网站。在做SEO优化的同时...
- 3个小技巧教你如何做好SEO优化
-
想半路出家做SEO?可是,怎么才做的好呢?关于SEO专业技术弄懂搜索引擎原理,咱们做搜索引擎排名的首先就是要了解搜索引擎的工作原理,对SEO优化有更深入了解之后再来做SEO,你就能从搜索引擎的视点...
- SEO指令分享:filetype指令
-
filetype用于搜索特定的文件格式。百度和谷歌都支持filetype指令。比如搜索filetype:pdf今日头条返回的就是包含今日头条这个关键词的所有pdf文件,如下图:百度只支持:pdf...
- 网站seo优化技巧大全
-
SEO在搜索引擎中对检索结果进行排序,看谁最初是在用户的第一眼中看到的。实际上,这些排名都是通过引擎的内部算法来实现的。例如,百度算法很有名。那么,对百度SEO的优化有哪些小技巧?下面小编就会说下针对...
- 小技巧#10 某些高级的搜索技巧
-
由于某些原因,我的实验场所仅限百度。1.关键词+空格严格说来这个不能算高级,但关键词之间打空格的办法确实好用。我习惯用右手大拇指外侧敲击空格键,这个习惯在打英文报告时尤其频繁。2.site:(请不要忽...
- MYSQL数据库权限与安全
-
权限与安全数据库的权限和数据库的安全是息息相关的,不当的权限设置可能会导致各种各样的安全隐患,操作系统的某些设置也会对MySQL的安全造成影响。1、权限系统的工作原理...
- WPF样式
-
UniformGrid容器<UniformGridColumns="3"Rows="3"><Button/>...
- MySQL学到什么程度?才有可以在简历上写精通
-
前言如今互联网行业用的最多就是MySQL,然而对于高级Web面试者,尤其对于寻找30k下工作的求职者,很多MySQL相关知识点基本都会涉及,如果面试中,你的相关知识答的模糊和不切要点,基...
- jquery的事件名称和命名空间的方法
-
我们先看一些代码:当然,我们也可以用bind进行事件绑定。我们看到上面的代码,我们可以在事件后面,以点号,加我们的名字,就是事件命名空间。所谓事件命名空间,就是事件类型后面以点语法附加一个别名,以便引...
- c#,委托与事件,发布订阅模型,观察者模式
-
什么是事件?事件(Event)基本上说是一个用户操作,如按键、点击、鼠标移动等等,或者是一些提示信息,如系统生成的通知。应用程序需要在事件发生时响应事件。通过委托使用事件事件在类中声明且生成,且通过...
- 前端分享-原生Popover已经支持
-
传统网页弹窗开发需要自己处理z-index层级冲突、编写点击外部关闭的逻辑、管理多个弹窗的堆叠顺序。核心优势对比:...
- Axure 8.0 综合帖——新增细节内容
-
一、钢笔工具与PS或者AI中的钢笔工具一样的用法。同样有手柄和锚点,如果终点和起点没有接合在一起,只要双击鼠标左键即可完成绘画。画出来的是矢量图,可以理解为新的元件。不建议通过这个工具来画ICON图等...
- PostgreSQL技术内幕28:触发器实现原理
-
0.简介在PostgreSQL(简称PG)数据库中,触发器(Trigger)能够在特定的数据库数据变化事件(如插入、更新、删除等)或数据库事件(DDL)发生时自动执行预定义的操作。触发器的实现原理涉及...
- UWP开发入门(十七)--判断设备类型及响应VirtualKey
-
蜀黍我做的工作跟IM软件有关,UWP同时会跑在电脑和手机上。电脑和手机的使用习惯不尽一致,通常我倾向于根据窗口尺寸来进行布局的变化,但是特定的操作习惯是依赖于设备类型,而不是屏幕尺寸的,比如聊天窗口的...