assembly - 此调用(汇编)后的以下指令是什么-6ren

assembly - 此调用(汇编)后的以下指令是什么

转载作者：行者123 更新时间：2023-12-02 20:51:50

24

4

我目前正在分析一个恶意软件。我已经识别了几种类型的 shell，其中一种是 icmp shell。在下面的屏幕截图中，您可以看到压入堆栈的 0x804af87 处的值，即“icmp”。这是为了满足 getprotobyname 中的“char *name”。

但是，在调用电话后，有一些指示对我来说没有意义。我理解这些说明本身，但我无法理解它们对此 icmp shell 可能执行的操作。

例如，在 getprotobyname 调用之后，0x10 会立即添加到堆栈指针中。这样做的目的是什么？并按顺序执行以下说明。

最佳答案

这是您正在分析的文本形式的代码:

mov   DWORD PTR [ebp-0x1c], 0x1f90
sub   esp, 0xc
push  0x804af87
call  0x8048cc0 <getprotobyname@plt>
add   esp, 0x10
mov   DWORD PTR [ebp-0x102c], eax
sub   esp, 0x4
mov   eax, DWORD PTR [ebp-0x102c]

让我们一次看一条指令，以确保我们理解他们在做什么:

mov DWORD PTR [ebp-0x1c], 0x1f90
这存储常量 0x1f90在堆栈上，特别是在位置ebp-0x1c ，位于当前基指针 ( ebp ) 后面 28 个字节。
sub esp, 0xc
这会从堆栈指针 ( esp ) 中减去 12 个字节，这实际上会在堆栈上分配一些空间。您这样做要么是因为您需要在那里存储一些数据，要么是因为您要在需要特定对齐方式的 ABI 下进行函数调用(例如 the System V ABI for x86 )。
push 0x804af87
这会插入常量值 0x804af87到堆栈上，这会隐式地将堆栈指针减少 4 个字节并将值存储在那里。
这很可能是为了准备函数调用而完成的，因为许多 x86 调用约定在堆栈上传递参数。
call 0x8048cc0 <getprotobyname@plt>
这称为 getprotobyname函数，位于绝对地址 0x8048cc0 .
add esp, 0x10
这会向堆栈指针 ( esp ) 添加 16 个字节，从而清理我们之前在堆栈上占用的空间。回想一下，我们之前将堆栈指针递减 12 个字节，然后将 4 字节值压入堆栈，总共 16 个字节。该指令有效地“撤消”了这一点，释放了我们不再需要的堆栈空间。
某些调用约定要求调用者在函数调用后清理堆栈；显然，这段代码正在使用这样的调用约定。
mov DWORD PTR [ebp-0x102c], eax
在此代码的调用约定中，函数的返回值存储在eax中。登记。 (对于我所知道的所有 x86 调用约定中的所有整数大小的返回值都是如此。)因此， getprotobyname 的结果函数(在 eax 中)将存储在内存中的位置 ebp-0x102c ，位于当前基指针 ( ebp ) 后面 4140 字节。
sub esp, 0x4
这会从堆栈指针中减去 4 个字节，从而有效地在堆栈上分配 4 个字节的存储空间。
mov eax, DWORD PTR [ebp-0x102c]
这将检索内存中位置 ebp-0x102c 处的值，并将其存储在eax中注册。

现在我们了解了这里发生的情况，很明显这是次优代码，并且其中一些指令是多余的/多余的。

特别是getprotobyname函数的返回值从 eax 开始，存储到内存中，然后从内存中检索并放回 eax 。这些都没有必要。所有这些指令都可以消除。

此外，向堆栈指针添加 16 个字节，然后从堆栈指针减去 4 个字节，与向堆栈指针添加 12 个字节相同。因此，这些add和sub指令可以合并为一个。没有明显的理由将它们分开说明。

我猜测这是您正在查看的未优化代码(例如可能由禁用优化的 C 编译器生成)，或者这是程序员故意完成的用于填充(而不是插入 nop 指令)。

更优化(也更理智)的代码版本如下:

mov   DWORD PTR [ebp-0x1c], 0x1f90     ; store value in memory
sub   esp, 0xc                         ; allocate 12 bytes of stack space
push  0x804af87                        ; push function argument
call  0x8048cc0 <getprotobyname@plt>   ; call function
add   esp, 0xc                         ; clean up stack space
; function's return value is now in EAX—use as desired
; ...
; if you like, store it in memory:
; mov   DWORD PTR [ebp-0x102c], eax

正如 Gene 在评论中建议的那样，请务必了解标准 x86 调用约定，特别是 __cdecl调用约定。详细信息可以查看x86标签维基。

关于assembly - 此调用(汇编)后的以下指令是什么，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/41971481/

24

4

0

文章推荐： ruby-on-rails - 使用 Multi-Tenancy Rails 5 应用程序设计 OmniAuth

文章推荐： javascript - Lodash 设置数组的每个元素

文章推荐： javascript - 如何捕获元素样式显示 = "none"

文章推荐： python - 属性错误 : object has no attribute '_type_equality_funcs'

Javascript AJAX 调用 Jquery 调用
为了让我的代码几乎完全用 Jquery 编写，我想用 Jquery 重写 AJAX 调用。这是从网页到 Tomcat servlet 的调用。我目前情况的类似代码: var http = new
Java 调用 C 调用 Java
我想使用 JNI 从 Java 调用 C 函数。在 C 函数中，我想创建一个 JVM 并调用一些 Java 对象。当我尝试创建 JVM 时，JNI_CreateJavaVM 返回 -1。所以，我想知
javascript - 调用 javascript 函数以从无法按预期工作的表单进行 AJAX 调用
环顾四周，我发现从 HTML 调用 Javascript 函数的最佳方法是将函数本身放在 HTML 中，而不是外部 Javascript 文件。所以我一直在网上四处寻找，找到了一些简短的教程，我可以根
ajax - 为什么我不能从 Angular 调用 ajax 调用
我有这个组件: import {Component} from 'angular2/core'; import {UserServices} from '../services/UserService
openssl - 如果客户端使用 BIO_* 调用，是否需要服务器上的 BIO_* 调用？
我正在尝试用 C 实现一个简单的 OpenSSL 客户端/服务器模型，并且对 BIO_* 调用的使用感到好奇，与原始 SSL_* 调用相比，它允许一些不错的功能。我对此比较陌生，所以我可能会完全错误
javascript - 根据先前的 Ajax 调用，根据用户确认执行 Ajax 调用
我正在处理有关异步调用的难题: 一个 JQuery 函数在用户点击时执行，然后调用一个 php 文件来检查用户输入是否与数据库中已有的信息重叠。如果是这样，则应提示用户确认是否要继续或取消，如果他单击
java - 验证私有(private)构造函数未使用 JMockit 调用/调用
我有以下类(class)。 public Task { public static Task getInstance(String taskName) { return new
c++ - 调用 QSound 调用，它们之间有延迟 Qt C++
嘿，我正在构建一个小游戏，我正在通过制作一个数字 vector 来创建关卡，该数字 vector 通过枚举与 1-4 种颜色相关联。问题是循环(在 Simon::loadChallenge 中)我将颜
Java 异步 api 调用 - 即发即忘 http 调用
我有一个java spring boot api(数据接收器)，客户端调用它来保存一些数据。一旦我完成了数据的持久化，我想进行另一个 api 调用(应该处理持久化的数据 - 数据聚合器)，它应该自行异
c# - 如何从 Paypal 调用 DoDirectPayment API 调用
首先，这涉及桌面应用程序而不是 ASP .Net 应用程序。我已经为我的项目添加了一个 Web 引用，并构建了各种数据对象，例如 PayerInfo、Address 和 CreditCard。但问题
f# - 如何从 FAKE 调用/调用 F# 编译器 fsc？
我如何告诉 FAKE 编译 .fs文件使用 fsc ? 解释如何传递参数的奖励积分，如 -a和 -target:dll . 编辑:我应该澄清一下，我正在尝试在没有 MSBuild/xbuild/.sl
javascript - render 没有被一个 api 调用，而是被另一个 api 调用
我使用下划线模板配置了一个简单的主干模型和 View 。两个单独的 API 使用完全相同的配置。 API 1 按预期工作。要重现该问题，请注释掉 API 1 的 URL，并取消注释 API 2 的
php - OOP 或 MySQL 调用。生成对象还是直接从 MySQL 调用？
我不确定什么是更好的做法或更现实的做法。我希望从头开始创建目录系统，但不确定最佳方法是什么。我想我在需要显示信息时使用对象，例如 info.php?id=100。有这样的代码用于显示 Game.cl
python - child 调用 parent ， parent 调用 child ......或不
from datetime import timedelta class A: def __abs__(self): return -self class B1(A):
java - 调用/调用 void 方法(Java 作业 - 生命游戏示例)
我在操作此生命游戏示例代码中的数组时遇到问题。情况: “生命游戏”是约翰·康威发明的一种细胞自动化技术。它由一个细胞网格组成，这些细胞可以根据数学规则生存/死亡/繁殖。该网格中的活细胞和死细胞通过
调用 read() 返回 0 但缓冲区已更改，调用 fread() 读取相同偏移量时不会发生
如果我像这样调用 read() 来读取文件: unsigned char buf[512]; memset(buf, 0, sizeof(unsigned char) * 512); int fd;
调用 "start"启动程序，调用 "stop"关闭 C 中的当前实例
我用 C 编写了一个简单的服务器，并希望调用它的功能与调用其他 C 守护程序的功能相同(例如使用 ./ftpd start 调用它并使用 ./ftpd stop 关闭该实例)。显然我遇到的问题是我不知
powershell - 可以从 cmd 调用 headless，但不能从 powershell 调用 headless
在 dos 中，当我粘贴此命令时它会起作用: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" https://google.
powershell - 可以从 cmd 调用 headless，但不能从 powershell 调用 headless
在 dos 中，当我粘贴此命令时它会起作用: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" https://google.
python - 调用 python3 显示错误，调用 python 启动 python2.7
我希望能够从 cmd 在我的 Windows 10 计算机上调用 python3。我已重新安装 Python3.7 以确保选择“添加到路径”选项，但仍无法调用 python3 并使 CMD 启动 P

首页

博学

6Ren·AI

商城

assembly - 此调用(汇编)后的以下指令是什么