汇编笔记【滴水逆向】

                   【滴水逆向】汇编笔记

第一课（课程概要）：
1. 高级语言—（编译器）—>汇编语言—（编译器）—>机器语言
2. 不是语言变得强大了，而是编译器变得强大了
3. c和c++的关系：相比C语言，对于c++来讲，编译器替我们做的事情更多了；C语言是学好c++的基础
4. 程序员的“Chain of contempt”(无恶意，仅供一乐)
?

                               
登录/注册后可看大图

??


5.学习汇编可以了解程序的本质


第二课（进制）：
为什么要学习进制：计算机只认识二进制，也就是0和1，为了更好地学习计算机，我们首先要深入理解什么是进制
学习进制的障碍：总是以十进制为依托去考虑其他进制，需要运算时也总是先转换成十进制（仅仅是因为我们对十进熟悉，所以才转换）；每一种进制都是完美的，想学好进制首先要忘掉十进制，也要忘掉进制之间的转换
进制的定义：N进制的定义：由N个符号组成，逢N进1；例如
?

                               
登录/注册后可看大图

??

第三课（进制运算）：
八进制运算：
2+3=5         2*3=6         4+5=11         4*5=24         277+333=632         276*54=20250

八进制加法表：
?

                               
登录/注册后可看大图

??

八进制乘法表：
?

                               
登录/注册后可看大图

??

进制总结：每种进制都是完美的，它自身就是一个完整的体系，可以直接做运算
计算机为什么使用二进制：计算机时需要电的，电路只有两种状态：1真（通电） 0假（未通电）
计算机中存储的任何文件、接收的指令都是由0和1组成的，例如我们可以查看一个【*.exe应用程序】：
?

                               
登录/注册后可看大图

??

16进制是二进制的简写形式：

                               
登录/注册后可看大图

?


第四课（数据宽度）：
1双字（DoubleWord）=2字（Word）=4字节（Byte）=32位（bit）  
存储范围：   字节：0--0xFF    字：0--0xFFFF 双字：0--0xFFFFFFFF
如果要存储的数据超过最大宽度，那么多余的数据将被丢弃[index]


第五、六课（无符号数和有符号数&&原码反码和补码）：无符号数：不存在负数，直接2进制转十进制
有符号数：正数和无符号数编码规则一样，负数以补码的形式在计算机中存储
编码规则：不同的文件有不同的编码规则：例如给你一串二进制数：你首先要问这一串二进制数存储的是什么（数值、文本、图像、音频、视频、还是应用程序？），如果是数字，再问是有符号还是无符号
原码：最高位为符号位，其余各位为其数值本身的绝对值
反码：正数：反码与原码相同；负数：符号位为1，其余位对原码取反
补码：正数：反码与原码相同；负数：符号位为1，其余位对原码取反加1

第七课（计算机不会做加法）：

                               
登录/注册后可看大图

?


逻辑运算：【与（and）】{1+1=1}、【或（or）】{1+0=1}、【非（not）】{~1=0}、【异或（xor）】{两数不同时为1，同时为0}
左移运算[shl(<<)]:各二进制位全部左移若干位，高位丢弃，低位补零
右移[A:shr(>>)或B:sar(>>)]：各二进制位全部由移若干位，低位丢弃，高位A:(补零)或B:(补符号位)

第八课（通用寄存器）：
计算机如何做加法：
?

                               
登录/注册后可看大图

??


第九课（汇编环境搭建）：
学汇编不是为了写代码，而是为了理解程序的本质
利用工具：Olldbg或x64dbg

第十课（通用寄存器）：
存读数据速度：CPU>内存>硬盘
32位通用寄存器：EAX、EBX、ECX、EDX、ESP、EBP、ESI、EDI
MOV指令：mov 立即数，寄存器   或      mov 寄存器，立即数

?

                               
登录/注册后可看大图

??


第十一课（内存）：
?

                               
登录/注册后可看大图

??


内存地址：内存太大没法起名字，所以只能用编号，这个编号又称为内存地址
内存地址的5种形式
PTR DS:[立即数]

PTR DS:[reg]

PTR DS:[立即数+reg]

PTR DS:[reg+reg*{1,2,4,8}]

PTR DS:[reg+reg*{1,2,4,8}+立即数]

第十二课（数据的存储模式）：
?

                               
登录/注册后可看大图

??
第十三课（常用汇编指令）：
?

                               
登录/注册后可看大图

??
?

                               
登录/注册后可看大图

??
?

                               
登录/注册后可看大图

???

                               
登录/注册后可看大图

?? ?

                               
登录/注册后可看大图

???

                               
登录/注册后可看大图

??
?

                               
登录/注册后可看大图

???

                               
登录/注册后可看大图

??


EFL：标志寄存器：其中第十位（DF）为0时，ESI和EDI运算完成后加1/2/4;第十位（DF）为1时，ESI和EDI运算完成后减1/2/4;
?

                               
登录/注册后可看大图

??
?

                               
登录/注册后可看大图

??

?

                               
登录/注册后可看大图

???

                               
登录/注册后可看大图

??




第十四课（堆栈）：
什么是堆栈：就是一块内存，操作系统在程序启动的时候已经分配好的，供程序执行时使用；和数据结构中的堆栈无关
堆栈使用时先从大地址开始用，当使用完，如果再继续使用时，会发生堆栈溢出
结合ollydbg查看堆栈
ESP：栈指针寄存器
修改EIP的值：JMP，CALL；CALL与JNP区别：call在修改EIP值的同时，还把CALL指令下一行的地址存到堆栈中
RET指令：栈顶指针加4，把原来栈顶指针中的值取出来放到EIP中
第十五课（拓展篇：反调试之Fake8）:

单步步入（F7）和单步步过（F8）
?

                               
登录/注册后可看大图

??

第十六课（汇编中的函数）：

函数就是一系列指令的集合，为了完成某个会重复使用的特定功能
如何执行一个函数：JMP  或  CALL
?

                               
登录/注册后可看大图

??
一般来讲，返回值存到EAX中

第十七课（堆栈平衡）：

如果要返回父程序，则当我们在堆栈中进行堆栈操作的时候，一定要保证在RET这条指令之前，ESP指向的是我们压入栈中的地址
如果通过堆栈传递参数了，那么在函数执行完毕后，要平衡参数变化导致的堆栈变化
?

                               
登录/注册后可看大图

??

第十八课（ESP寻址）：

1.使用寄存器传递参数

2.使用堆栈来传递参数
?

                               
登录/注册后可看大图

??


第十九课（EBP寻址、JCC指令）：

1.
?

                               
登录/注册后可看大图

??


2.
?

                               
登录/注册后可看大图

??
?

                               
登录/注册后可看大图

??

谢谢分享

看着很不错，回复一个看看

谢谢分享

谢谢分享

感谢分享 跟着学习一下

每天都能学到新知识，赞！

感谢楼主的热心分享

感谢楼主

谢谢分享