一、实验原理
x64dbg 是一款开源且免费的 Ring 3 级动态调试器,采用 QT 编写,支持 32 / 64 位程序。其反汇编引擎 BeaEngine 和 Capstone 功能极其强大,也有丰富的插件和脚本功能,且并保持更新,目前已经基本替代了 OllDbg。
软件解压后根目录存在x96dbg, 双击 x96dbg,出现三个弹窗,会生成 x96dbg.ini 文件,里面记录着 32 位和 64位 dbg 程序的路径。当需要把整个程序文件夹移动到其他路径时,最好把这个 ini 删除,重新双击让它再生成。当需要把它加到发送到菜单中的时候,也推荐添加 x96dbg,它会自动选择用 x32 还是 x64dbg 打开。
通用数据传送指令
MOV 传送字或字节.
MOVSX 先符号扩展,再传送.
MOVSX 先符号扩展,再传送.
MOVZX 先零扩展,再传送.
PUSH 把字压入堆栈.
POP 把字弹出堆栈.
PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.
POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈.
PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈.
POPAD 把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次弹出堆栈.
BSWAP 交换32位寄存器里字节的顺序
XCHG 交换字或字节.(至少有一个操作数为寄存器,段寄存器不可作为操作数)
CMPXCHG 比较并交换操作数.(第二个操作数必须为累加器AL/AX/EAX)
XADD 先交换再累加.(结果在第一个操作数里)
XLAT 字节查表转换.----BX指向一张256字节的表的起点,
AL为表的索引值(0-255,即0-FFH);
返回AL为查表结果.([BX+AL]->AL)
算术运算指令
ADD 加法.
ADC 带进位加法.
INC 加 1.
AAA 加法的ASCII码调整.
DAA 加法的十进制调整.
SUB 减法.
SBB 带借位减法.
DEC 减 1.
NEG 求反(以 0 减之).
CMP 比较.(两操作数作减法,仅修改标志位,不回送结果).
AAS 减法的ASCII码调整.
DAS 减法的十进制调整.
MUL 无符号乘法.结果回送AH和AL(字节运算),或DX和AX(字运算),
IMUL 整数乘法.结果回送AH和AL(字节运算),或DX和AX(字运算),
AAM 乘法的ASCII码调整.
DIV 无符号除法.结果回送:商回送AL,余数回送AH, (字节运算);或 商回送AX,余数回送DX, (字运算).
IDIV 整数除法.结果回送:商回送AL,余数回送AH, (字节运算);或 商回送AX,余数回送DX, (字运算).
AAD 除法的ASCII码调整.
CBW 字节转换为字. (把AL中字节的符号扩展到AH中去)
CWD 字转换为双字. (把AX中的字的符号扩展到DX中去)
CWDE 字转换为双字. (把AX中的字符号扩展到EAX中去)
CDQ 双字扩展. (把EAX中的字的符号扩展到EDX中去)DS:SI 源串段寄存器 :源串变址.
ES:DI 目标串段寄存器:目标串变址.
CX 重复次数计数器.
AL/AX 扫描值.
D标志 0表示重复操作中SI和DI应自动增量; 1表示应自动减量.
Z标志 用来控制扫描或比较操作的结束.
逻辑运算指令
AND 与运算.
OR 或运算.
XOR 异或运算.
NOT 取反.
TEST 测试.(两操作数作与运算,仅修改标志位,不回送结果).
SHL 逻辑左移.
SAL 算术左移.(=SHL)
SHR 逻辑右移.
SAR 算术右移.(=SHR)
ROL 循环左移.
ROR 循环右移.
RCL 通过进位的循环左移.
RCR 通过进位的循环右移.
以上八种移位指令,其移位次数可达255次.
移位一次时, 可直接用操作码. 如 SHL AX,1.
移位>1次时, 则由寄存器CL给出移位次数.
如 MOV CL,04 SHL AX,CL
无条件转移指令
JMP 无条件转移指令
CALL 过程调用
RET/RETF 过程返回
条件转移指令
JA/JNBE 不小于或不等于时转移.
JAE/JNB 大于或等于转移.
JB/JNAE 小于转移.
JBE/JNA 小于或等于转移.
以上四条,测试无符号整数运算的结果(标志C和Z).
JG/JNLE 大于转移.
JGE/JNL 大于或等于转移.
JL/JNGE 小于转移.
JLE/JNG 小于或等于转移.
以上四条,测试带符号整数运算的结果(标志S,O和Z).
JE/JZ 等于转移.
JNE/JNZ 不等于时转移.
JC 有进位时转移.
JNC 无进位时转移.
JNO 不溢出时转移.
JNP/JPO 奇偶性为奇数时转移.
JNS 符号位为 "0" 时转移.
JO 溢出转移.
JP/JPE 奇偶性为偶数时转移.
JS 符号位为 "1" 时转移.
循环控制指令
LOOP CX不为零时循环.
LOOPE/LOOPZ CX不为零且标志Z=1时循环.
LOOPNE/LOOPNZ CX不为零且标志Z=0时循环.
JCXZ CX为零时转移.
JECXZ ECX为零时转移.
二、指令片段内容示例
- 熟悉x64dbg界面, 以及调试的快捷键(F7步进,F8步过)
- 熟悉常见的汇编指令
在内存窗口中转到0x00406000,修改内存内容,然后运行下述汇编指令片段,并给出结果:
附指令片段:
| MOV EAX, 0x00406030 (x64dbg输入时,十六进制请加前缀0X) MOV EBX, [0x00406030] (观察标志位CF/OF/SF/ZF等的变化) |
附指令片段:
| MOV EAX, 0x00406030 (x64dbg输入时,十六进制请加前缀0X) MOV EBX, [0x00406030] PUSH EAX PUSH EBX (观察栈内存变化) |
附指令片段:
| MOV EAX, 0x44332211 (x64dbg输入时,十六进制请加前缀0X) MOV EBX, 0x88887777 XCHG EAX,EBX (观察寄存器内容变化) |
附指令片段:
| MOV EAX,0X11112222 (x64dbg输入时,十六进制请加前缀0X) MOV EBX, 0X33334444 MOV ECX, 0X55556666 MOV EDX, 0X77778888 PUSHAD (观察栈内存变化) |
附指令片段:
| MOV AX, 0x1122 (x64dbg输入时,十六进制请加前缀0X) MOV BX, 0x3344 ADD AX (观察寄存器内容变化) |
附指令片段:
| MOV AX, 0x1122 (x64dbg输入时,十六进制请加前缀0X) MOV BX, 0x3344 #同时点击CF使其为1 ADC AX (观察寄存器内容变化) |
附指令片段:
| MOV AX, 0x1122 (x64dbg输入时,十六进制请加前缀0X) MOV BX, 0x3344 INC AX DEC BX (观察寄存器内容变化) |
附指令片段:
| MOV AX, 0x0002 (x64dbg输入时,十六进制请加前缀0X) MOV BX, 0X0002 NEG AX NOT BX (观察寄存器内容变化) |
附指令片段:
| MOV AX, 0x0022 (x64dbg输入时,十六进制请加前缀0X) MOV BX, 0X5500 MOV CX, 0X0033 MOV DX, 0X6600 AND AX, BX OR CX, DX (观察寄存器内容变化) |
附指令片段:
| MOV AX, 0x0002 (x64dbg输入时,十六进制请加前缀0X) MOV BX, 0X0200 SHL AX,2 SHR BX,2 (观察寄存器内容变化) |
三、总结
1.如何输入汇编代码
先选择要运行的程序,然后运行到用户代码,在汇编窗口找到空白的地方,就可以按空格输入汇编代码。
2.常见的汇编寻址方式有哪些
立即寻址方式,寄存器寻址方式,直接寻址方式,寄存器间接寻址方式,寄存器相对寻址方式,基址加变址寻址方式,相对基址加变址寻址方式。
3.怎样给EAX寄存器赋值为0?(请举出所有可能的方法)
- MOV EAX,0
- SUB EAX,EAX
