编辑/更新
所以我认为让我感到困惑的是:
LEA ESI, [EBX + 8*EAX + 4]
加载一个地址,但是:
LEA ESI, [EBX + 4]
加载内容(值?)而不是地址。这怎么不是取消引用?
我也不知道是什么
mov [eax+1], ecx
是吗?
原始问题
我正在努力学习阅读汇编,但我开始挣扎了。抱歉,如果有拼写错误,我无法从我的实验室机器上复制。这是来自恶意代码,因此它可能不是最佳的。
我想我在某处理解有缺陷,但我就是想不通。
var_30 = byte ptr -30h
lea eax, [ebp+esi+var_30]
我的理解是,加载有效地址将成为从 [basepointer-30h+esi] 计算出的任何地址。我不知道 esi 或 edi 是什么。
lea ecx, [esi+edi]
lea ebx, [esi+6]
所以我相信 ebx 是 esi + 6 字节的结果地址?
mov esi, ds:WriteProcessMemory
esi 指向 WriteProcessMemory API 调用
mov byte ptr [eax], 68h
我认为将指令 PUSH 放入 eax 的地址(当前为 [basepointer-30h+esi]
mov [eax+1], ecx
我相信 ecx,现在是 [esi+edi] 的地址,包含给 PUSH 指令的参数。这是否意味着 eax+1 现在指向内容 ecx([esi+edi]] 中的内容?
mov byte ptr [eax+5], 0C3h
我认为这会将指令 RET 放入地址 [eax+5]。
lea eax, [epb+var_30]
无论 esi 是什么,这基本上都会将 eax 向后/向前移动,但我不确定为什么?
push [ebp+lpBaseAddress]; lpBaseAddress
push 0FFFFFFFFh; hProcess (-1 = this process)
call esi
让我困惑的是:
ebx 被用作nSize 的参数,但为什么内容的长度会存储在地址[esi+6] 处?我最初认为它是 +6,因为它可能是“PUSH arg RET (eax to eax+5)”的长度,但它是一个地址而不是一个短整数。 short int (nSize) 是否由先前的子程序放置在该地址?
为什么 eax(lpBuffer - 要写入的内容)现在位于 [eax-30h]。 esi是不是分配了空间,而是从末尾开始写内容?像这样的东西:
ebp+var_30+esi (eax, start of buffer address) : PUSH(eax) : arg(eax+1) RET(eax+5) : ebp+var_30 (new eax, end of buffer address)?
我不认为我完全理解 esi 或 edi 在做什么,但我没有完整的代码来计算它们是什么。
谢谢
最佳答案
处理您的编辑
如果您对 LEA
感到困惑,可以这样想:
- 计算源操作数中的所有内容。
- 将(源操作数的)计算结果放入目标操作数。
So I think what confuses me is that:
LEA ESI, [EBX + 8*EAX + 4]
从技术上讲,指令并不关心它是否是地址(此外,在平面内存中,寄存器中的所有内容都可以是地址)。
采取以下先决条件:
- EBX = 2
- EAX = 1
然后计算出源:
[EBX + 8*EAX + 4]
= 2 + 8 * 1 + 4 = 2 + 8 + 4 = 14
将结果移入ESI
:
LEA ESI, [EBX + 8*EAX + 4]
; ESI = 14(EBX = 2;EAX = 1)
LEA ESI, [EBX + 4] Loads the content (value?) and not an address. How is this not dereferencing?
这里也是一样。假设 EBX = 2
,您最终得到 ESI = 6
。
I am also still not sure what mov [eax+1], ecx does?
取EAX
的值然后加1;现在这个值 (eax + 1
) 是一个指针,您将在该指针处存储 ECX 中的 32 位(假设没有大小覆盖)值。
简单的例子:
- EAX = 0x8000
- ECX = 2
现在,计算:EAX + 1 = 0x8001
- 将这个值作为一个指针(或者如果你想要一个内存位置)
- 将
ECX
的值(2;作为 32 位值)存储在地址 0x8001。
0x8000 0x8001 0x8002 0x8003 0x8004 0x8005
+-----+ +-----+ +-----+ +-----+ +-----+ +-----+
... | ?? | | 02 | | 00 | | 00 | | 00 | | ?? | ...
+-----+ +-----+ +-----+ +-----+ +-----+ +-----+
关于windows - 这段汇编代码在做什么 - 写入进程内存,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56655770/