个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我目前正在分析一个恶意软件。我已经识别了几种类型的 shell,其中一种是 icmp shell。在下面的屏幕截图中,您可以看到压入堆栈的 0x804af87 处的值,即“icmp”。这是为了满足 getprotobyname 中的“char *name”。
但是,在调用电话后,有一些指示对我来说没有意义。我理解这些说明本身,但我无法理解它们对此 icmp shell 可能执行的操作。
例如,在 getprotobyname 调用之后,0x10 会立即添加到堆栈指针中。这样做的目的是什么?并按顺序执行以下说明。
最佳答案
这是您正在分析的文本形式的代码:
mov DWORD PTR [ebp-0x1c], 0x1f90
sub esp, 0xc
push 0x804af87
call 0x8048cc0 <getprotobyname@plt>
add esp, 0x10
mov DWORD PTR [ebp-0x102c], eax
sub esp, 0x4
mov eax, DWORD PTR [ebp-0x102c]
让我们一次看一条指令,以确保我们理解他们在做什么:
mov DWORD PTR [ebp-0x1c], 0x1f90
这存储常量 0x1f90在堆栈上,特别是在位置ebp-0x1c ,位于当前基指针 ( ebp ) 后面 28 个字节。
sub esp, 0xc
这会从堆栈指针 ( esp ) 中减去 12 个字节,这实际上会在堆栈上分配一些空间。您这样做要么是因为您需要在那里存储一些数据,要么是因为您要在需要特定对齐方式的 ABI 下进行函数调用(例如 the System V ABI for x86 )。
push 0x804af87
这会插入常量值 0x804af87到堆栈上,这会隐式地将堆栈指针减少 4 个字节并将值存储在那里。
这很可能是为了准备函数调用而完成的,因为许多 x86 调用约定在堆栈上传递参数。
call 0x8048cc0 <getprotobyname@plt>
这称为 getprotobyname函数,位于绝对地址 0x8048cc0 .
add esp, 0x10
这会向堆栈指针 ( esp ) 添加 16 个字节,从而清理我们之前在堆栈上占用的空间。回想一下,我们之前将堆栈指针递减 12 个字节,然后将 4 字节值压入堆栈,总共 16 个字节。该指令有效地“撤消”了这一点,释放了我们不再需要的堆栈空间。
某些调用约定要求调用者在函数调用后清理堆栈;显然,这段代码正在使用这样的调用约定。
mov DWORD PTR [ebp-0x102c], eax
在此代码的调用约定中,函数的返回值存储在eax中。登记。 (对于我所知道的所有 x86 调用约定中的所有整数大小的返回值都是如此。)因此, getprotobyname 的结果函数(在 eax 中)将存储在内存中的位置 ebp-0x102c ,位于当前基指针 ( ebp ) 后面 4140 字节。
sub esp, 0x4
这会从堆栈指针中减去 4 个字节,从而有效地在堆栈上分配 4 个字节的存储空间。
mov eax, DWORD PTR [ebp-0x102c]
这将检索内存中位置 ebp-0x102c 处的值,并将其存储在eax中注册。
现在我们了解了这里发生的情况,很明显这是次优代码,并且其中一些指令是多余的/多余的。
特别是getprotobyname函数的返回值从 eax 开始,存储到内存中,然后从内存中检索并放回 eax 。这些都没有必要。所有这些指令都可以消除。
此外,向堆栈指针添加 16 个字节,然后从堆栈指针减去 4 个字节,与向堆栈指针添加 12 个字节相同。因此,这些add和sub指令可以合并为一个。没有明显的理由将它们分开说明。
我猜测这是您正在查看的未优化代码(例如可能由禁用优化的 C 编译器生成),或者这是程序员故意完成的用于填充(而不是插入 nop 指令)。
更优化(也更理智)的代码版本如下:
mov DWORD PTR [ebp-0x1c], 0x1f90 ; store value in memory
sub esp, 0xc ; allocate 12 bytes of stack space
push 0x804af87 ; push function argument
call 0x8048cc0 <getprotobyname@plt> ; call function
add esp, 0xc ; clean up stack space
; function's return value is now in EAX—use as desired
; ...
; if you like, store it in memory:
; mov DWORD PTR [ebp-0x102c], eax
正如 Gene 在评论中建议的那样,请务必了解标准 x86 调用约定,特别是 __cdecl调用约定。详细信息可以查看x86标签维基。
关于assembly - 此调用(汇编)后的以下指令是什么,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41971481/
24
4
0
我试图在图形模式下打印一个字符。通常当我打印我正在做的一个字符时: mov ah,14 ; ah=14 mov al,'x' int 10h ; print the character 这
我试图通过更改其中的一个字节来修改存储在内存中的字符串。我为此使用了 movb,但由于某种原因,给定内存位置的字节没有改变。 在 gdb 调试器上: 14 movb %al, (%r10) # nex
我一直在阅读一些汇编代码,并且开始发现调用指令实际上是与程序计数器相关的。 但是,每当我使用 Visual Studio 或 Windbg 进行调试时,它总是显示 call 0xFFFFFF ...这
我最近一直在使用 Visual C++ 中的内联汇编,我想知道是否可以直接向堆栈上的局部变量添加值,例如: push 5 add [esp], 7 这样做可以吗?我问这个问题是因为我在执行此操作时随机
我有下一个代码: mov al, -5 add al, 132 add al, 1 据我检查,溢出标志和进位标志将在第一个操作中设置,而在第二个操作中,仅设置溢出。 但我不明白为什么: 在无符号数中,
在 64 位 x86 汇编 nasm 中,如何将单个字节从寄存器移动到 .data 节中定义的内存位置? 我知道这有效 global _main section .data quotient db 0
我的汇编代码有问题。我想打印存储在寄存器 cx 中的数字,但是当我尝试打印它时,它打印的是 ascii 字符而不是 ascii 数字,所以我决定编写一个程序将 ascii char 转换为 ascii
为什么第 1B 行的跳转指令(例如)变成了 EBBD? 我知道“jmp”= EB但是BD是怎么计算的呢? 最佳答案 短跳转使用一个带符号的偏移量添加到 JMP 之后的指令地址。 例如,第一个 JMP
以下两者有什么区别: mov eax, [eax+4] 和 add eax, 4 mov eax, [eax] 如果不是,那么汇编器是否会选择哪个来进行某种优化? 最佳答案 这
看《The Shellcoder's Handbook》中的一些汇编和反汇编代码,发现一条指令的序列操作数是不一样的。 例如,在 assembly 上: mov ebx,0 并且,在反汇编时: mov
我有这个非常简单的汇编代码: start: add ax, 100 ; if ax overflow add to bx 1 jmp start 但我不知道如何检测 ax 寄存器溢出,有人可以帮
在 64 位 x86 汇编 nasm 中,如何将单个字节从寄存器移动到 .data 节中定义的内存位置? 我知道这有效 global _main section .data quotient db 0
我的汇编代码有问题。我想打印存储在寄存器 cx 中的数字,但是当我尝试打印它时,它打印的是 ascii 字符而不是 ascii 数字,所以我决定编写一个程序将 ascii char 转换为 ascii
我正在学习一些关于操作系统开发的教程,我发现了一篇关于多重引导 header 。这些是您必须定义的一些“神奇”值才能使用GRUB2。这些是命令: # Declare constants used f
为什么第 1B 行的跳转指令(例如)变成了 EBBD? 我知道“jmp”= EB但是BD是怎么计算的呢? 最佳答案 短跳转使用一个带符号的偏移量添加到 JMP 之后的指令地址。 例如,第一个 JMP
我正在尝试从内存中复制一些单词并使用汇编将其保存到另一个内存地址。我正在尝试为其编写代码,但我不确定其中的某些部分。我将简要描述我想要做什么。 源地址、目标地址和要复制的字数是函数的输入参数。 最佳答
当我们想要像这样创建一个初始化变量时: name db 'zara ali' 我们创建了一个字节大小变量,但我们在其中存储了一个字符串 这怎么可能?? 当我们使用这条指令时: MOV ecx, nam
我还是汇编的新手,我还不知道汇编中的许多命令代码。我想在 16 位寄存器中进行除法。我想打印它的内容。我知道我需要将寄存器的内容转换为 ASCII 进行打印,但同样,我的问题是除法。请帮我。 比如cx
使用有什么区别: c.eq.s $1, $2 bc1t L2 并使用: beq $1, $2, L2 如果他们做同样的事情,为什么有两种分支方式?如果它们不同,那么它们各自的好处是什么
源代码: int main() { int i; for(i=0, i : push rbp 2. 0x000055555555463b :
我是一名优秀的程序员,十分优秀!