编辑/更新
所以我认为令我困惑的是:
LEA ESI, [EBX + 8*EAX + 4]
加载地址,但是:
LEA ESI, [EBX + 4]
加载内容(值?)而不是地址。怎么不取消引用?
我还是不确定
mov [eax+1], ecx
是吗?
原始问题
我试图学习阅读汇编,但是我开始挣扎。抱歉,如果有错别字,我无法从我的实验室机器上复制。这是来自恶意代码,因此可能不是最佳选择。
我认为我对某处的理解有缺陷,但是我无法弄清楚。
var_30 = byte ptr -30h
lea eax, [ebp+esi+var_30]
我的理解是,加载有效地址将变为根据[basepointer-30h + esi]计算得出的任何地址。我不知道esi或edi是什么。
lea ecx, [esi+edi]
lea ebx, [esi+6]
所以我相信ebx是esi + 6个字节的结果地址?
mov esi, ds:WriteProcessMemory
esi指向WriteProcessMemory API调用
mov byte ptr [eax], 68h
我相信将PUSH指令放入eax的地址(当前为[basepointer-30h + esi]
mov [eax+1], ecx
我相信ecx(现在是[esi + edi]的地址)包含要提供给PUSH指令的参数。这是否意味着eax + 1现在指向了内容ecx([esi + edi]中的内容是什么?
mov byte ptr [eax+5], 0C3h
我认为这会将RET指令放入地址[eax + 5]。
lea eax, [epb+var_30]
这实际上使eax向前或向后移动了esi,但是我不确定为什么吗?
push [ebp+lpBaseAddress]; lpBaseAddress
push 0FFFFFFFFh; hProcess (-1 = this process)
call esi
让我感到困惑的是
ebx用作nSize的参数,但是为什么内容的长度会存储在地址[esi + 6]中呢?我最初以为是+6,因为这可能是'PUSH arg RET(eax to eax + 5)'的长度,但这是一个地址,而不是短整数。上一个子例程是否将short int(nSize)放置在该地址上?
为什么现在eax(lpBuffer-要写入的内容)在[eax-30h]。 esi是否分配了空间,但从头开始写内容?像这样:
ebp+var_30+esi (eax, start of buffer address) : PUSH(eax) : arg(eax+1) RET(eax+5) : ebp+var_30 (new eax, end of buffer address)?
我认为我不完全了解esi或edi在做什么,但是我没有完整的代码来确定它们的作用。
谢谢
答案 0 :(得分:4)
解决您的修改
如果您对LEA感到困惑,请这样想:
所以我认为令我困惑的是:
LEA ESI,[EBX + 8 * EAX + 4]
从技术上讲,该指令并不关心它是否是地址(此外,在平面存储器中,寄存器中的所有内容都可以是地址)。
采取以下先决条件:
然后计算来源:
[EBX + 8*EAX + 4] = 2 + 8 * 1 + 4 = 2 + 8 + 4 = 14 将结果移至ESI:
LEA ESI, [EBX + 8*EAX + 4]; ESI = 14(EBX = 2; EAX = 1)LEA ESI,[EBX + 4] 加载内容(值?)而不是地址。怎么不取消引用?
这里也一样。假设EBX = 2到了ESI = 6。
我仍然不确定 mov [eax + 1],ecx 是吗?
取EAX的值,然后加1;现在,这个值(eax + 1)是一个指针,您将在其中存储ECX中的32位(假定没有大小覆盖)值。
简单的例子:
现在,计算:EAX + 1 = 0x8001
ECX的值(2;作为32位值)存储在地址0x8001中。 0x8000 0x8001 0x8002 0x8003 0x8004 0x8005
+-----+ +-----+ +-----+ +-----+ +-----+ +-----+
... | ?? | | 02 | | 00 | | 00 | | 00 | | ?? | ...
+-----+ +-----+ +-----+ +-----+ +-----+ +-----+