请选择 进入手机版 | 继续访问电脑版

落羽黑客论坛

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 369|回复: 5

逆向简单理解

[复制链接]

66

主题

68

帖子

226

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
226
发表于 2021-2-9 01:25:32 | 显示全部楼层 |阅读模式
  • 再Windows上运行,都遵循PE文件格式。
  • exe,dll,sys
      1,程序从哪里开始执行
      2,数据存在哪里

      3,程序存在哪里

          最终存储为0和1

  • 字节(BYTE):8位(两个十六进制数),     WORD(字):16位,      DWORD(双字):32位(BIT)
  • Windows操作系统存储从高位到低位 :E8 00 00 00  ——> 000000E8
  • PE查看器—>找到代码段起始地址—>找到第一个函数
  • 将16进制数转换成汇编的过程——反汇编
  • 二进制—》汇编—》C语言——逆向
  • 逻辑运算 —— 按位运算

    或( or   | )——有一则一定是一

    与( and    & )——有零则一定是一

    异或(xor  ^)——不一样的为一

    非(not   !)——1是0,0是1

    左移( << )——0010  <<  0100

例题:CPU运行:2+3=?


CPU只能做加法运算,存储数据的容器:CPU里---寄存器,内存条---内存(慢)


  • 32位通用寄存器:

EAX:       累加器

……


  • 汇编指令:

mov  把后面的立即数放到前面的寄存器里
add   加数再放回
sub   减数再放回

  • 客户端---密钥---服务器端
  • 内存:

【编号】成为地址,

32位计算机:寻址宽度(编号最大不能超过32位)——存储最大数据:FFFFFFFF+1  —》 4G

(包括00000000)

内存单位大小(内存单元)是一个字节

内存的读写:(练习时:地址可用ESP的)


DS(段寄存器):后面是立即数,与内存属性有关
SS:后面是ESP/EBP
ES:后面是EDI
PTR:后面是地址

LEA:取地址编号






堆栈:ESP(栈顶),EBP(栈底)

PUSH,POP--->(+4/-4)




回复

使用道具 举报

0

主题

1

帖子

5

积分

新手上路

Rank: 1

积分
5
发表于 2021-2-9 01:25:42 | 显示全部楼层
转发了!!
回复

使用道具 举报

0

主题

1

帖子

39

积分

新手上路

Rank: 1

积分
39
发表于 2021-2-9 01:25:58 | 显示全部楼层
支持!!!
回复

使用道具 举报

0

主题

1

帖子

21

积分

新手上路

Rank: 1

积分
21
发表于 2021-2-9 01:26:11 | 显示全部楼层
你好棒!!
回复

使用道具 举报

0

主题

3

帖子

31

积分

新手上路

Rank: 1

积分
31
发表于 2021-2-9 01:26:20 | 显示全部楼层
牛逼!!
回复

使用道具 举报

0

主题

2

帖子

44

积分

新手上路

Rank: 1

积分
44
发表于 2021-2-9 01:26:22 | 显示全部楼层
沙发!!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|落羽黑客论坛

GMT+8, 2021-6-16 22:39 , Processed in 0.047105 second(s), 21 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表