前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Win32汇编:数组与标志位测试总结

Win32汇编:数组与标志位测试总结

作者头像
微软技术分享
发布2022-12-28 14:57:28
7560
发布2022-12-28 14:57:28

整理复习汇编语言的知识点,以前在学习《Intel汇编语言程序设计 - 第五版》时没有很认真的整理笔记,主要因为当时是以学习理解为目的没有整理的很详细,这次是我第三次阅读此书,每一次阅读都会有新的收获,这次复习,我想把书中的重点,再一次做一个归纳与总结(注:16位汇编部分跳过),并且继续尝试写一些有趣的案例,这些案例中所涉及的指令都是逆向中的重点,一些不重要的我就直接省略了,一来提高自己,二来分享知识,转载请加出处,敲代码备注挺难受的。

本次复习重点在于理解数组中常用的寻址方式以及标志位的测试命令,数组寻址包括了,直接寻址,间接寻址,立即数寻址,基址变址寻址,比例因子寻址,通过ESI内存寻址,通过ESP堆栈寻址,指针寻址。

再次强调:该笔记主要学习的是汇编语言,不是研究编译特性的,不会涉及到编译器的优化与代码还原。

数组取值操作符: 数组取值操作符是对数组操作之前必须要掌握的,以下命令主要实现对数组元素的统计,取偏移值等,后期数组寻址会用到.

代码语言:javascript
复制
	.386p
	.model flat,stdcall
	option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib

.data
	WordVar1 WORD 1234h
	DwordVar2 DWORD 12345678h
	
	ArrayBT BYTE 1,2,3,4,5,6,7,8,9,0h
	ArrayDW DWORD 1000,2000,3000,4000,5000,6000,7000,8000,9000,0h
	ArrayTP DWORD 30 DUP(?)
.code

	main PROC
		; 使用 OFFSET 可返回数据标号的偏移地址,单位是字节.
		; 偏移地址代表标号距DS数据段基址的距离.
		xor eax,eax
		mov eax,offset WordVar1
		mov eax,offset DwordVar2
		
		; 使用 PTR 可指定默认取出参数的大小(DWORD/WORD/BYTE)
		mov eax,dword ptr ds:[DwordVar2]     ; eax = 12345678h
		xor eax,eax
		mov ax,word ptr ds:[DwordVar2]       ; ax = 5678h
		mov ax,word ptr ds:[DwordVar2 + 2]   ; ax = 1234h
		
		; 使用 LENGTHOF 可以计算数组元素的数量
		xor eax,eax
		mov eax,lengthof ArrayDW             ; eax = 10
		mov eax,lengthof ArrayBT             ; eax = 10
		
		; 使用 TYPE 可返回按照字节计算的单个元素的大小.
		xor eax,eax
		mov eax,TYPE WordVar1                ; eax = 2
		mov eax,TYPE DwordVar2               ; eax = 4
		mov eax,TYPE ArrayDW                 ; eax = 4
		
		; 使用 SIZEOF 返回等于LENGTHOF(总元素数)和TYPE(每个元素占用字节)返回值的乘基.
		xor eax,eax
		mov eax,sizeof ArrayBT               ; eax = 10
		mov eax,sizeof ArrayTP               ; eax = 120
		
		invoke ExitProcess,0
	main ENDP
END main

数组直接寻址: 在声明变量名称的后面加上偏移地址即可实现直接寻址,直接寻址中可以通过立即数寻址,也可以通过寄存器相加的方式寻址,如果遇到双字等还可以使用基址变址寻址,这些寻址都属于直接寻址.

代码语言:javascript
复制
	.386p
	.model flat,stdcall
	option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib

.data
	ArrayB BYTE 10h,20h,30h,40h,50h
	ArrayW WORD 100h,200h,300h,400h
	ArrayDW DWORD 1h,2h,3h,4h,5h,6h,7h,8h,9h
.code
	main PROC
		; 针对字节的寻址操作
		mov al,[ArrayB]           ; al=10
		mov al,[ArrayB+1]         ; al=20
		mov al,[ArrayB+2]         ; al=30

		; 针对内存单元字存储操作
		mov bx,[ArrayW]           ; bx=100
		mov bx,[ArrayW+2]         ; bx=200
		mov bx,[ArrayW+4]         ; bx=300

		; 针对内存单元双字存储操作
		mov eax,[ArrayDW]         ; eax=00000001
		mov eax,[ArrayDW+4]       ; eax=00000002
		mov eax,[ArrayDW+8]       ; eax=00000003
		
		; 基址加偏移寻址: 通过循环eax的值进行寻址,每次eax递增2
		mov esi,offset ArrayW
		mov eax,0
		mov ecx,lengthof ArrayW
	s1:
		mov dx,word ptr ds:[esi + eax]
		add eax,2
		loop s1
		
		; 基址变址寻址: 循环取出数组中的元素
		mov esi,offset ArrayDW                 ; 数组基址
		mov eax,0                              ; 定义为元素下标
		mov ecx,lengthof ArrayDW               ; 循环次数
	s2:
		mov edi,dword ptr ds:[esi + eax * 4]   ; 取出数值放入edi
		inc eax                                ; 数组递增
		loop s2
		
		invoke ExitProcess,0
	main ENDP
END main

数组间接寻址: 数组中没有固定的编号,处理此类数组唯一可行的方法是用寄存器作为指针并操作寄存器的值,这种方法称为间接寻址,间接寻址通常可通过ESI实现内存寻址,也可通过ESP实现对堆栈的寻址操作.

代码语言:javascript
复制
	.386p
	.model flat,stdcall
	option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib

.data
	ArrayDW DWORD 1h,2h,3h,4h,5h,6h,7h,8h,9h
.code
	main PROC
		; 第一种: 通过使用ESI寄存器实现寻址.
		mov esi,offset ArrayDW               ; 取出数组基地址
		mov ecx,lengthof ArrayDW             ; 取出数组元素个数
	s1:
		mov eax,dword ptr ds:[esi]           ; 间接寻址
		add esi,4                            ; 每次递增4
		loop s1
		
		; 第二种: 通过ESP堆栈寄存器,实现寻址.
		mov eax,100                ; eax=1
		mov ebx,200                ; ebx=2
		mov ecx,300                ; ecx=3
		push eax                   ; push 1
		push ebx                   ; push 2
		push ecx                   ; push 3

		mov edx,[esp + 8]          ; EDX = [ESP+8] = 1
		mov edx,[esp + 4]          ; EDX = [ESP+4] = 2 
		mov edx,[esp]              ; EDX = [ESP] = 3
		
		; 第三种(高级版): 通过ESP堆栈寄存器,实现寻址.
		push ebp
		mov ebp,esp                      ; 保存栈地址
		lea eax,dword ptr ds:[ArrayDW]   ; 获取到ArrayDW基地址
		; -> 先将数据压栈
		mov ecx,9                        ; 循环9次
	s2:	push dword ptr ss:[eax]          ; 将数据压入堆栈
		add eax,4                        ; 每次递增4字节
		loop s2
		; -> 在堆栈中取数据
		mov eax,32                       ; 此处是 4*9=36 36 - 4 = 32
		mov ecx,9                        ; 循环9次
	s3:	mov edx,dword ptr ss:[esp + eax] ; 寻找栈中元素
		sub eax,4                        ; 每次递减4字节
		loop s3
		
		add esp,36               ; 用完之后修正堆栈
		pop ebp                  ; 恢复ebp

		invoke ExitProcess,0
	main ENDP
END main

比例因子寻址: 通过使用比例因子,以下例子每个DWORD=4字节,且总元素下标=0-3,得出比例因子3* type arrayDW.

代码语言:javascript
复制
	.386p
	.model flat,stdcall
	option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib

.data
	ArrayW  WORD  1h,2h,3h,4h,5h
	ArrayDW DWORD 1h,2h,3h,4h,5h,6h,7h,8h,9h

	TwoArray DWORD 10h,20h,30h,40h,50h
	RowSize = ($ - TwoArray)            ; 每行所占空间 20 字节
		 DWORD 60h,70h,80h,90h,0ah
		 DWORD 0bh,0ch,0dh,0eh,0fh
.code
	main PROC
	
		; 第一种比例因子寻址
		mov esi,0                 ; 初始化因子
		mov ecx,9                 ; 设置循环次数
	s1:
		mov eax,ArrayDW[esi * 4]  ; 通过因子寻址,4 = DWORD
		add esi,1                 ; 递增因子
		loop s1
		
		; 第二种比例因子寻址
		mov esi,0
		lea edi,word ptr ds:[ArrayW]
		mov ecx,5
	s2:
		mov ax,word ptr ds:[edi + esi * type ArrayW]
		inc esi
		loop s2
		
		; 第三种二维数组寻址
		row_index = 1
		column_index = 2
		
		mov ebx,offset TwoArray            ; 数组首地址
		add ebx,RowSize * row_index        ; 控制寻址行
		mov esi,column_index               ; 控制行中第几个
		mov eax, dword ptr ds:[ebx + esi * TYPE TwoArray]
		
		invoke ExitProcess,0
	main ENDP
END main

通过比例因子可以模拟实现二维数组寻址操作,过程也很简单.

代码语言:javascript
复制
	.386p
	.model flat,stdcall
	option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib

.data
	TwoArray DWORD 10h,20h,30h,40h,50h
	RowSize = ($ - TwoArray)            ; 每行所占空间 20 字节
		 DWORD 60h,70h,80h,90h,0ah
		 DWORD 0bh,0ch,0dh,0eh,0fh
.code
	main PROC
		lea esi,dword ptr ds:[TwoArray]  ; 取基地址
		mov eax,0                        ; 控制外层循环变量
		mov ecx,3                        ; 外层循环次数
	s1:
		push ecx                         ; 保存外循环次数
		push eax
		
		mov ecx,5                        ; 内层循环数
	s2:	add eax,4                        ; 每次递增4
		mov edx,dword ptr ds:[esi + eax] ; 定位到内层循环元素
		loop s2
		
		pop eax
		pop ecx
		add eax,20                       ; 控制外层数组
		loop s1	

		invoke ExitProcess,0
	main ENDP
END main

通过比例因子实现对数组求和操作,代码如下:

代码语言:javascript
复制
	.386p
	.model flat,stdcall
	option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib

.data
	ArrayA DWORD 10h,20h,30h,40h,50h
	ArrayB DWORD 10h,20h,30h,40h,50h
	NewArray DWORD 5 dup(0)
.code
	main PROC
		; 循环让数组中的每一个数加10后回写
		mov ebx,0
		mov ecx,5
	s1:
		mov eax,dword ptr ds:[ArrayA + ebx * 4]
		add eax,10
		mov dword ptr ds:[ArrayA + ebx * 4],eax
		inc ebx
		loop s1
		
		; 循环让数组A与数组B相加后赋值到数组NewArray
		mov ebx,0
		mov ecx,5
	s2:
		mov esi,dword ptr ds:[ArrayA + ebx]
		add esi,dword ptr ds:[ArrayB + ebx]
		mov dword ptr ds:[NewArray + ebx],esi
		add ebx,4
		loop s2

		invoke ExitProcess,0
	main ENDP
END main

数组指针寻址: 变量地址的变量称为指针变量(pointer variable),Intel处理器使用两种基本类型的指针,即near(近指针)和far(远指针),保护模式下使用Near指针,所以它被存储在双字变量中.

代码语言:javascript
复制
	.386p
	.model flat,stdcall
	option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib

.data
	ArrayA  WORD  1h,2h,3h,4h,5h
	ArrayB DWORD 1h,2h,3h,4h,5h
	
	PtrA DWORD offset ArrayA     ; 指针 PtrA --> ArrayA
	PtrB DWORD offset ArrayB     ; 指针 PTRB --> ArrayB
.code
	main PROC
	
		mov ebx,0            ; 寻址因子
		mov ecx,5            ; 循环次数
	s1:
		mov esi,dword ptr ds:[PtrA]          ; 将指针指向PtrA
		mov ax,word ptr ds:[esi + ebx * 2]   ; 每次递增2字节
		
		mov esi,dword ptr ds:[PtrB]          ; 将指针指向PtrB
		mov eax,dword ptr cs:[esi + ebx * 4] ; 每次递增4字节
		inc esi              ; 基地址递增
		inc ebx              ; 因子递增
		loop s1

		invoke ExitProcess,0
	main ENDP
END main

常见标志位测试: 标志寄存器又称程序状态寄存器,其主要用于存放条件码标志,控制标志和系统标志的寄存器,标志寄存器中存放的有条件标志,也有控制标志,这些标志则会影响跳转的实现,逆向中常见的标志位有如下几种.

代码语言:javascript
复制
	.386p
	.model flat,stdcall
	option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib

.code
	main PROC
	; CF 进位标志位: 当执行一个加法(或减法)运算,使最高位产生进位(或借位)时,CF为1;否则为0
		mov ax,0ffffh
		add ax,1    ; cf = 1 af = 1

	; PF 奇偶标志位: 当运算结果中,所有bit位(例:1001010)中1的个数为偶数时,则PF=1;为基数PF=0
		mov eax,00000000b
		add eax,00000111b  ; pf = 0
		
		mov eax,00000000b
		add eax,00000011b  ; pf = 1

	; ZF 零标志位: 若当前的运算结果为零,则ZF=1; 否则ZF=0
		mov eax,2
		sub eax,2   ; zf = 1 cf = 0 af = 0
	
	; SF 符号标志位: 若运算结果为负数,则SF=1;若为非负数则SF=0
		mov eax,3e8h
		sub eax,3e9h  ; sf = 1 cf = 1 af = 1 zf = 0
	
	; DF 方向标志位: 当DF=0时为正向传送数据(cld),否则为逆向传送数据(std)
		cld
		mov eax,1      ; df = 0
		std
		mov eax,1      ; df = 1

	; OF 溢出标志位: 记录是否产生了溢出,当补码运算有溢出时OF=1;否则OF=0
		mov al,64h
		add al,64h     ; of = 1 cf = 0 pf = 0 af = 0
	
		invoke ExitProcess,0
	main ENDP
END main

TEST 位与指令: 该指令在对操作数之间执行隐含与运算操作,并设置相应的标志位,与AND指令唯一的不同在于,该指令只会设置相应的标志,并不会替换目的操作数中的数值,常用于测试某些位是否被设置.

TEST指令可以同时检测设置多个标志位的值,该指令执行时总是清除溢出标志和进位标志,它修改符号标志,基偶标志,零标志的方式与AND指令相同.

代码语言:javascript
复制
	.386p
	.model flat,stdcall
	option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib

.code
	main PROC
		mov al,00001111b
		test al,2            ; zf=0 pf=0

		mov al,00100101b
		test al,00001001b    ; zf=0 pf=0
		
		mov al,00100100b
		test al,00001001b    ; zf=1 pf=1
		
		mov eax,0100h
		test eax,eax         ; zf=0
		
		mov eax,0
		test eax,eax         ; zf=0
		
		or al,80h            ; 设置符号标志 zf=0 pf=0 sf=1
		and al,7fh           ; 清除符号标志 zf=1 pf=1 sf=0
		
		mov al,0
		or al,1              ; 清除符号标志 zf=0 pf=0

		stc                  ; 设置进位标志 cf = 1
		clc                  ; 清除进位标志 cf = 0
		
		mov al,07fh          ; AL = +127
		inc al               ; 设置溢出标志 AL = 80h (-128) of=1 af=1 sf=1
		or eax,0             ; 清除溢出标志

		invoke ExitProcess,0
	main ENDP
END main

CMP 比较指令: 该指令作用是在源操作数和目的操作数中间执行隐含的减法运算,两个操作数都不会被修改,仅会影响标志位的变化,CMP指令是高级语言实现程序逻辑的关键,也是汇编中非常重要的指令常与跳转指令合用.

代码语言:javascript
复制
	.386p
	.model flat,stdcall
	option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib

.code
	main PROC
		; 比较5和10
		mov ax,5
		cmp ax,10      ; 5-10 > zf=0 cf=1 pf=0 af=1 sf=1
		
		; 比较两个相同数
		mov ax,1000
		mov cx,1000
		cmp cx,ax      ; 1000-1000 > zf=1 cf=0 pf=1 sf=0
		
		; 比较100和0
		mov ax,100
		cmp ax,0       ; 100-0 > zf=0 cf=0 pf=0
		
		; 比较100和50
		mov eax,100
		mov ebx,50
		cmp eax,ebx    ; 100-50 > zf=0 cf=0 pf=0
		
		; 比较-100和50
		mov eax,-100
		mov ebx,50
		cmp eax,ebx    ; -100-50 > sf=1 pf=1
		
		; 比较-100和-50
		mov eax,-100
		mov ebx,-50
		cmp eax,ebx    ; -100--50 > cf=1 af=1 pf=0
	
		invoke ExitProcess,0
	main ENDP
END main

标志跳转指令: 跳转指令分为多种,第一种常见的跳转指令就是基于特定CPU的标志寄存器来实现的跳转形式.

代码语言:javascript
复制
	.386p
	.model flat,stdcall
	option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib

.code
	main PROC
		; JZ/JE 当ZF置1时 也就是结果为零则跳转 (leftOp - rightOp = 0)
		mov eax,1
		sub eax,1     ; zf=1 pf=1
		je jump
		
		mov eax,1
		mov ebx,1
		cmp eax,ebx   ; zf=1
		jz jump
		
		; JNZ/JNE 当ZF置0时 也就是结果不为零则跳转 (leftOp - rightOp != 0)
		mov eax,2
		sub eax,1
		jnz jump      ; zf=0 pf=0
		
		mov eax,2
		cmp eax,1
		jne jump      ; zf=0
		
		; JC/JNC 当 CF=1/0 设置进位标志则跳/未设置进位标志则跳
		mov al,0
		cmp al,1
		jc jump
		jnc jump
		
		; JO/JNO 当 OF=1/0 设置溢出标志则跳/未设置溢出标志则跳
		mov al,0ffh
		add al,1
		jo jump
		
		; JS/JNS 当 SF=1/0 设置符号标志则跳/未设置符号标志则跳
		mov eax,1
		cmp eax,1
		js jump       ; cf=0 af=0
		
		; JP/JNP PF=1/0 设置奇偶标志则跳(偶)/未设置奇偶标志则跳(基)
		mov al,00100100b
		cmp al,0
		jp jump        ; zp=0
	jump:
		xor eax,eax
		xor ebx,ebx
		
		invoke ExitProcess,0
	main ENDP
END main

比较跳转标志: 通过使用cmp eax,ebx比较等式两边的值,影响相应的标志寄存器中的值,从而决定是否要跳转,常用的如下:

代码语言:javascript
复制
	.386p
	.model flat,stdcall
	option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib

.code
	main PROC
		; JA(无符号)/JG(有符号) 跳转标志: (left > right) 大于则跳转
		mov eax,100
		mov ebx,200
		cmp ebx,eax    ; 无符号 ebx > eax
		ja jump        ; zf=0 pf=0
		
		mov eax,20
		mov ebx,-100
		cmp eax,ebx    ; 有符号 eax > ebx
		jg jump        ; zf=0 cf=1 pf=1 af=1
		
		; JAE(无符号)/JGE(有符号) 跳转标志: (left >= right) 大于或等于则跳转
		mov eax,50
		mov ebx,20
		cmp eax,ebx    ; 无符号 eax >= ebx
		jae jump       ; jae 被替换成了jnb 小于则跳 (eax<ebx)
		
		mov eax,50
		mov ebx,-20
		cmp eax,ebx    ; 有符号 eax >= ebx
		jge jump       ; zf=0 af=1 pf=0 sf
		
		; JB(无符号)/JL(有符号) 跳转标志:(left < right) 小于则跳转
		mov eax,10
		mov ebx,20
		cmp eax,ebx     ; 无符号 eax < ebx
		jb jump         ; cf=0 af=0 pf=1
		
		mov eax,-10
		mov ebx,20
		cmp eax,ebx     ; 有符号 eax < ebx
		jl jump
		
		; JBE(无符号)/JLE(有符号) 跳转标志:(left <= right) 小于或等于则跳转
		mov eax,20
		mov ebx,20
		cmp eax,ebx    ; 无符号 eax <= ebx
		jbe jump       ; zf=1
		
		mov eax,-20
		mov ebx,10
		cmp eax,ebx    ; 无符号 eax,ebx
		jle jump       ; sf=1
		
		; JNB(不小于则跳 同JAE)/JNA(不大于则跳 同JBE) 跳转标志:(lef !>< right) 无符号
		mov eax,10
		mov ebx,5
		cmp eax,ebx    ; eax !< ebx
		jnb jump
		
		mov eax,5
		mov ebx,10
		cmp eax,ebx    ; eax !> ebx
		jbe jump

		; JNB(不小于则跳 同JAE)/JNA(不大于则跳 同JBE) 跳转标志:(lef !>< right) 无符号
		mov eax,10
		mov ebx,5
		cmp eax,ebx    ; eax !< ebx
		jnb jump       ; zf=0 cf=0
		
		mov eax,5
		mov ebx,10
		cmp eax,ebx    ; eax !> ebx
		jbe jump       ; cf=1 af=1 zf=0
		
		; JNL(不小于则跳 同JGE)/JNG(不大于则跳 同JLE) 跳转标志:(lef !>< right) 有符号
		mov eax,10
		mov ebx,-5
		cmp eax,ebx    ; eax !< ebx
		jnl jump       ; sf=0 cf=1 pf=1 af=1 zf=0
		
		mov eax,-10
		mov ebx,5
		cmp eax,ebx    ; eax !> ebx
		jng jump       ; sf=1

	jump:
		xor eax,eax
		xor ebx,ebx
		
		invoke ExitProcess,0
	main ENDP
END main

BT/BSF/BSR 位测试指令: 首先BT系列命令主要用于对特定寄存器进行测试,清除,设置或求反等操作,它会影响CF标志位,而BSF/BSR命令则是对特定位中的值进行正反向扫描操作,它会影响ZF标志位.

代码语言:javascript
复制
	.386p
	.model flat,stdcall
	option casemap:none

include windows.inc
include kernel32.inc
includelib kernel32.lib

.code
	main PROC
		; bt 普通的位测试命令
		xor edx,edx
		mov dx,10000001b
		bt dx,7              ; 把DX第7位送入CF = 1
		bt dx,6              ; 把DX第六位送入CF = 0
		
		; bts 位测试并置位
		mov dx,10000001b
		bts dx,6             ; cf = 0
		bts dx,7             ; cf = 1
		
		; btr 位测试并复位.在执行BT同时,把操作数的指定位置为0
		mov dx,10000001b
		btr dx,7
		btr dx,6             ; cf = 0
		
		;btc 位测试并取反.在执行BT同时,把操作数的指定位取反
		mov dx,10000001b
		btc dx,0             ; cf = 1
		btc dx,0             ; cf = 0
		
		; BSF 执行位扫描 由低->高位 | BSR 由高 -> 到低
		xor edx,edx
		mov dx, 0000111100001100b
		bsf cx,dx            ; 正向扫描,将扫描到1的位置放入CX
		bsr cx,dx            ; 反向扫描 zf=0 pf=0
		
		xor ecx,ecx
		mov cx,0
		mov dx,0
		bsf cx,dx
		lahf

		invoke ExitProcess,0
	main ENDP
END main
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2020-08-29,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档