c++ - 正确的方法将程序集中的寄存器值从一个位置移动到另一个位置

Question

我目前遇到一些无法解释的寄存器问题，我无法猜测我正在将寄存器从一个寄存器不正确地移动到另一个寄存器。

我正在尝试获取 EDX 的值变成 test.myEDX大多数情况下，EDX 的值总是错误的。进入 test.myEDX , 但其中的一部分 EDX值(value)似乎是正确的，我认为这是非常奇怪的某种高/低位问题。

让我解释一下我想要做什么。
首先，我 Hook 内存中包含一些任意汇编代码的位置。

我通过在该位置放置一个硬件断点来 Hook 它，然后我可以及时看到该位置的所有寄存器值。
现在我做了一个简单的程序，每次 cpu 进入断点位置时，我都会把 EDX值转换为 C++ 中的结构。
据我所知，没有什么可以修改 EDX在我将其放入结构时注册，除非将值放入结构中会修改 EDX我测试的情况并非如此，我通过移动 EDX 进行测试首先进入EAX然后通过 EAX放入应该与 EDX 具有相同值的结构中它仍然是错误的EAX将数据放入结构时也使用？那时我没有进一步测试所有寄存器以找出未使用的寄存器，怀疑这甚至是问题所在。

实际执行任何操作时需要考虑的另一件事，例如放置 EDX我必须在 C++ 中将当前的 EIP 放入结构中进入我的裸函数，我从之前做的这些事情中知道，裸函数根本不会修改任何寄存器，它们只是用作将 EIP 上的当前 asm 代码扩展为更大的 asm 代码的一种方式，没有任何垃圾C++ 会在进入子程序时添加。

我也用 PUSHAD和 PUSHFD当我完成转储 EDX 时恢复以前设置的寄存器值在我调用 PUSH/POP 之前，进入 struct 一切都在一个安全的环境中(只要我不使用 POPFD 当然是不正确的)然后 POPAD
我几乎不知道任何 ASM，但通过查看许多示例，我从未见过寄存器像这样移动。 (显然，复制一个寄存器没有任何意义，但即使是同一个寄存器也移动到两个不同的地址，一个接一个，我没有看到那个)。

MOV EBX, EDX
MOV ECX, EDX

但实际上我看到了这样的事情(我认为这是我的问题，为什么它不起作用)，(不是，我仍然不知道我做错了什么)

MOV EBX, EDX 
MOV EAX, EDX //Theory: in order to move EDX a second time into ECX, I must not move EDX directly into ECX.
MOV ECX, EAX

除了现在，我没有看到任何区别 EAX丢失了，但我仍然认为我必须将同一寄存器的每次多次移动重新路由到多个位置，方法是在实际移动到原始位置之前一遍又一遍地移动它，这很愚蠢，但这就是我认为你必须做的我仍然认为这是完成这项工作的正确方法。
无论哪种方式，这仍然没有帮助我，我仍然得到错误的值(value)观。

我认为这些选项的 AL BL寄存器搞砸了 EDX或者也许 TEST或 JE搞砸了，我真的不知道，我将这段代码粘贴到 OllyDBG 中，似乎没有任何修改 EDX神秘为什么 EDX错了，也许地址更新它的值太慢了？因为它基于与 CPU 速度不同步的 RAM 速度(当然都是愚蠢的理论)。

无论如何，我可以在这里解释的所有内容都是代码。

struct TestStruct {
  int myEDX;
  int mySetEDX;
} test;

extern bool optionOne = false;
extern bool optionTwo = false;
DWORD gotoDumpBackAddress = 0x40012345;

void __declspec( naked ) dump(void) {
    __asm {
        PUSHAD
        PUSHFD
        XOR EAX, EAX //zero EAX, used below as AL (optionOne)
        XOR EBX, EBX //zero EBX, used below as BL (optionTwo)
        MOV AL, optionOne //optionOne set
        MOV BL, optionTwo //optionTwo set

        TEST EAX, EAX //Tests if optionOne equals == 0, then je will be equal.
        je gotoOptionOne //Jumps if optionOne equals 0.
        TEST EBX, EBX //Tests if optionTwo equals == 0, then je will be equal.
        je gotoOptionTwo  //Jumps if optionTwo equals 0.

gotoOptionOne:
//This the default case (improper value in EDX..., I could just use address at [ESI+0x2] which is old EDX, which is risky since it's delayed (outdated)
            MOV DWORD PTR DS:[ESI+0x2], EDX //(normal operation)
            MOV test.myEDX, EDX //Stores freshest EDX to test.myEDX (wrong EDX value)
            JMP finish  //Clear temporary used registers and go back to next asm code

//Special case. (works mostly properly)
//Thing is EDX gets updated very frequently, Causes no side-effect only because
//[ESI+0x2] gets updated in a different location as well a bit later to renew the value.
//So it's not even noticeable, but when I run this at it's peak speeds, you start to see the flickering effect, which isn't normal, if I run peak speeds without hook.
//I eliminated the problem that the hook could cause the flicker effect since after
//I call a empty naked Hook with just return address to same location and disable hook
//Then re-enable hook and repeat step above (no flicker occurs).
gotoOptionTwo:
            //MOV DWORD PTR DS:[ESI+0x2], EDX //(normal operation), omitted
            MOV EAX, DWORD PTR DS:[ESI+0x2] //Old EDX, but atleast it's correct.
            MOV test.myEDX, EAX //Stores old EDX into struct test.myEDX
            MOV EAX, test.mySetEDX //Replace old EDX with what I wish it should be.
            MOV DWORD PTR DS:[ESI+0x2], EAX //nySetEDX into what EDX should of did.
            JMP finish //Clear temporary used registers and go back to next asm code
finish:
        POPFD
        POPAD

        JMP gotoDumpBackAddress //return to starting location before dump + 1.

    }
}

编辑:好的，我还没有解释我是如何测试这段代码的。

我不打算解释我是如何做硬件断点的，我不希望这种方法在互联网上公开，出于我自己 future 的安全原因。
但它通过调用另一个与系统驱动程序通信的 DLL 来工作。

但这应该解释我如何测试它。

我在这个 DLL 注入(inject)的不同线程中运行。

void diffThread() {
  while(1) {
    if(GetAsyncKeyState(VK_NUMPAD0)) {
      optionOne != optionOne;
      Sleep(1000);
    }

    if(GetAsyncKeyState(VK_NUMPAD1)) {
      optionTwo != optionTwo;
      Sleep(1000);
    }

    Sleep(10);
  }
}

bool __stdcall DllMain(HINSTANCE hInst,DWORD uReason,void* lpReserved)
{
    if(uReason == DLL_PROCESS_ATTACH)
    {
        CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)&diffThread,0 ,NULL,NULL); 
    }
    else if(uReason == DLL_PROCESS_DETACH) 
    { 
        ExitThread(0);
    } 
    return true;
}

Answer 1

好吧，老实说，这在很多层面上都是错误的，我的意思是代码本身。
您正在尝试做的是强行进入 C 领域，告诉编译器退后，您可以通过手写代码来做自己的事情。这有时可能会派上用场，但你必须记住，你也失去了一些 C 功能，特别是自动为你完成的事情，据我所知，微软编译只是不喜欢你在 inline 汇编中乱搞(不要得到我错了，MASM 编译器很棒，但它不能与 C 编译器配合得很好)

// doing this is not the best since the compiler may
// do some nasty stuff like aligning the struct that
// you have to take watch out for in asm
struct TestStruct {
      int myEDX;
      int mySetEDX;
    } test;

extern bool optionOne = false;
extern bool optionTwo = false;
DWORD gotoDumpBackAddress = 0x40012345; // static memory address? this should fail like instantly, I dont really know what this is supposed to be

void __declspec( naked ) dump(void) {
    __asm {
        PUSHAD // you shouldn't normally push all registers only the ones you actually used!
        PUSHFD
        XOR EAX, EAX // this is how you zero out but honestly you can use EAX's low and high parts as 2 16bit regsiters instead of using 2 32bits for 2 bits of data
        XOR EBX, EBX
        MOV AL, optionOne //optionOne set
        MOV BL, optionTwo //optionTwo set

        TEST EAX, EAX // This check is meaning less because if gotoOptionTwo is false you move on regardless of gotoOpeionOne's value
        je gotoOptionOne
        TEST EBX, EBX // This test should always be true isn't it?
        je gotoOptionTwo

gotoOptionOne:
// Assuming that ESI is coming from the system as you said that there is a
// breakpoint that invokes this code, do you even have access to that part of the memory?
            MOV DWORD PTR DS:[ESI+0x2], EDX
            MOV test.myEDX, EDX // this is just a C idom 'struct' this doesnt really exist in ASM
            JMP finish

gotoOptionTwo:
            MOV EAX, DWORD PTR DS:[ESI+0x2]
            MOV test.myEDX, EAX
            MOV EAX, test.mySetEDX
            MOV DWORD PTR DS:[ESI+0x2], EAX
            JMP finish
finish:
        POPFD
        POPAD

        JMP gotoDumpBackAddress //return to starting location before dump + 1.

    }
}

所以回答你的问题，

我认为这里最大的问题是这条线

MOV test.myEDX, EDX

通常在 ASM 中没有作用域之类的东西，就像您告诉它从 test 中获取 myEDX 的值一样，这意味着获取指向值 test 的指针，然后通过指针获取值。它可能有效，但取决于 C 编译器来帮助您。

所以通常你需要一个指针并用它来移动数据，比如

LEA ecx,test // get the address of test
MOV DWORD PTR[ecx],edx // use that address to move the data into the struct

现在您要告诉它将数据放入结构中，但是这会做出一些假设，就像这里我们知道第一个元素是我们想要将数据放入( myEDX )的元素，并且我们假设 DWORD 与C 中的 int (在 Windows 上通常是这样)，但假设又是不好的!