windows - 这段汇编代码在做什么 - 写入进程内存

Question

编辑/更新

所以我认为让我感到困惑的是:

LEA ESI, [EBX + 8*EAX + 4]

加载一个地址，但是:

LEA ESI, [EBX + 4]

加载内容(值？)而不是地址。这怎么不是取消引用？

我也不知道是什么

mov [eax+1], ecx

是吗？

原始问题

我正在努力学习阅读汇编，但我开始挣扎了。抱歉，如果有拼写错误，我无法从我的实验室机器上复制。这是来自恶意代码，因此它可能不是最佳的。

我想我在某处理解有缺陷，但我就是想不通。

var_30 = byte ptr -30h     
lea eax, [ebp+esi+var_30]

我的理解是，加载有效地址将成为从 [basepointer-30h+esi] 计算出的任何地址。我不知道 esi 或 edi 是什么。

lea ecx, [esi+edi] 
lea ebx, [esi+6] 

所以我相信 ebx 是 esi + 6 字节的结果地址？

mov esi, ds:WriteProcessMemory

esi 指向 WriteProcessMemory API 调用

mov byte ptr [eax], 68h 

我认为将指令 PUSH 放入 eax 的地址(当前为 [basepointer-30h+esi]

mov [eax+1], ecx

我相信 ecx，现在是 [esi+edi] 的地址，包含给 PUSH 指令的参数。这是否意味着 eax+1 现在指向内容 ecx([esi+edi]] 中的内容？

mov byte ptr [eax+5], 0C3h 

我认为这会将指令 RET 放入地址 [eax+5]。

lea eax, [epb+var_30]

无论 esi 是什么，这基本上都会将 eax 向后/向前移动，但我不确定为什么？

push [ebp+lpBaseAddress]; lpBaseAddress
push 0FFFFFFFFh; hProcess (-1 = this process)

call esi

让我困惑的是:

ebx 被用作nSize 的参数，但为什么内容的长度会存储在地址[esi+6] 处？我最初认为它是 +6，因为它可能是“PUSH arg RET (eax to eax+5)”的长度，但它是一个地址而不是一个短整数。 short int (nSize) 是否由先前的子程序放置在该地址？

为什么 eax(lpBuffer - 要写入的内容)现在位于 [eax-30h]。 esi是不是分配了空间，而是从末尾开始写内容？像这样的东西:

ebp+var_30+esi (eax, start of buffer address) : PUSH(eax) : arg(eax+1) RET(eax+5) : ebp+var_30 (new eax, end of buffer address)?

我不认为我完全理解 esi 或 edi 在做什么，但我没有完整的代码来计算它们是什么。

谢谢

Answer 1

处理您的编辑

如果您对 LEA 感到困惑，可以这样想:

• 计算源操作数中的所有内容。
• 将(源操作数的)计算结果放入目标操作数。

So I think what confuses me is that:

LEA ESI, [EBX + 8*EAX + 4]

从技术上讲，指令并不关心它是否是地址(此外，在平面内存中，寄存器中的所有内容都可以是地址)。

采取以下先决条件:

• EBX = 2
• EAX = 1

然后计算出源:

• [EBX + 8*EAX + 4] = 2 + 8 * 1 + 4 = 2 + 8 + 4 = 14

将结果移入ESI:

• LEA ESI, [EBX + 8*EAX + 4] ; ESI = 14(EBX = 2；EAX = 1)

LEA ESI, [EBX + 4] Loads the content (value?) and not an address. How is this not dereferencing?

这里也是一样。假设 EBX = 2，您最终得到 ESI = 6。

I am also still not sure what mov [eax+1], ecx does?

取EAX的值然后加1；现在这个值 (eax + 1) 是一个指针，您将在该指针处存储 ECX 中的 32 位(假设没有大小覆盖)值。

简单的例子:

• EAX = 0x8000
• ECX = 2

现在，计算:EAX + 1 = 0x8001

• 将这个值作为一个指针(或者如果你想要一个内存位置)
• 将 ECX 的值(2；作为 32 位值)存储在地址 0x8001。

     0x8000  0x8001  0x8002  0x8003  0x8004  0x8005
     +-----+ +-----+ +-----+ +-----+ +-----+ +-----+
...  |  ?? | |  02 | | 00  | |  00 | |  00 | | ??  |   ...
     +-----+ +-----+ +-----+ +-----+ +-----+ +-----+