我决定学习汇编语言。这样做的主要原因是可以理解反汇编代码并可能能够编写更高效的代码部分(例如,通过C++),做一些像代码洞等的事情。我看到有无数不同版本的汇编语言,那么,针对我的目的,应该从哪里开始?应该学习什么类型的汇编语言?我想通过先编写一些简单程序(例如计算器)来学习,但目标本身将是为了熟悉它,以便我能理解IDA Pro显示的代码。
我正在使用Windows操作系统(如果有任何区别的话)。
编辑:所以,似乎每个人都指向MASM。虽然我明白它具有高级功能,非常适用于汇编代码程序员,但这不是我要寻找的东西。它似乎有if、invoke等指令,在流行的反汇编器(如IDA)中没有显示。因此,如果可能的话,我想听听任何用ASM进行我所询问的目的(在IDA中阅读反汇编的exe代码)的人的意见,而不仅仅是“一般”的汇编程序员。
编辑:好的。我已经在学习汇编语言。我正在学习MASM,不使用我不需要的高级功能。我现在正在尝试在C++的__asm指令中测试我的代码,这样我就可以比使用MASM从头开始编写所有内容更快地尝试各种东西。
手写汇编语言代码和编译器生成的汇编语言代码在高层次上看起来经常有很大不同。当然,程序的内部结构会非常相似(毕竟,只有那么多种不同的方法可以编码 a = b + c),但是当你尝试逆向工程时,这些都不是问题。编译器将为即使是简单的可执行文件添加大量样板代码:上一次我比较,GCC编译的“Hello World”大约是4kB,在汇编中手写则只有100字节左右。在Windows上更糟糕:上一次我比较(尽管这是在上个世纪),我能让我的Windows编译器生成的最小“Hello World”是52kB!通常这些样板代码只执行一次,如果有的话,所以它并不太影响程序速度--就像我上面说的,程序的核心部分,大部分执行时间所花费的部分,无论是编译还是手写,通常都是相似的。
总之,这意味着专业的汇编程序员和专业的反汇编程序员是两个不同的专业。通常他们被认为是同一个人,但它们实际上是不同的,学习如何成为优秀的汇编编码者对于学习逆向工程没有太大帮助。
你需要做的是从Intel和AMD下载IA-32和AMD64(两者一起涵盖)架构手册,并查阅关于指令和操作码的早期章节。可以阅读一两篇汇编语言的教程,以了解汇编语言的基础知识。然后选择一个感兴趣的小型示例程序并将其反汇编:逐步跟踪其控制流程并尝试理解它在做什么。看看是否可以对其进行修补以执行其他功能。然后再尝试另一个程序,并重复此过程,直到你足够自信去实现更有用的目标。你可能会对“破解挑战”感兴趣,这是由逆向工程社区制作的挑战,供有兴趣的人尝试并希望在此过程中学到东西。这些挑战的难度从基础(从这里开始!)到不可能都有。(我不知道你是否和我一样对汇编感到兴奋)
一款用于实验汇编的简单工具已经安装在您的电脑上。
转到“开始”菜单->运行,然后键入 debug。
debug 是 DOS、MS-DOS、OS/2 和 Microsoft Windows(仅 x86 版本,不是 x64)中的一个命令,它运行程序 debug.exe(或早期版本的 DOS 中的 DEBUG.COM)。Debug 可以作为汇编器、反汇编器或十六进制转储程序,允许用户交互式地检查内存内容(以汇编语言、十六进制或 ASCII 表示),进行修改,并选择性地执行 COM、EXE 和其他文件类型。它还有几个子命令,可用于访问特定的磁盘扇区、I/O 端口和内存地址。MS-DOS Debug 运行在 16 位进程级别,因此仅限于 16 位计算机程序。FreeDOS Debug 有一个支持 32 位 DPMI 程序的 "DEBUGX" 版本。
教程:
如果你想了解在IDA Pro(或OllyDbg)中看到的代码,你需要学习编译代码的结构。我推荐这本书Reversing: Secrets of Reverse Engineering。
debug进行了几周的实验。debug在基本机器级别上工作,没有高级汇编语言命令。a以开始编写汇编代码,最后给出g来运行它。
(INT 21如果AH寄存器设置为2,则在屏幕上显示存储在DL寄存器中的ASCII字符--INT 20终止程序)a和[enter]以开始编写汇编代码。如果您连续按两次[enter],则退出汇编模式。键入g和[enter]以运行它(默认情况下偏移量为100)。 - Nick Dandoulakis不要被书名吓到。大部分的前半部分都是以Eric Raymond的意义上的“黑客”为主题:创造性、出人意料、几乎是偷偷摸摸的方法来解决棘手的问题。我(也许你)对安全方面不太感兴趣。
我开始学习MIPS,这是一种非常紧凑的32位架构。它是一种精简指令集,但这正是使初学者容易掌握的原因。即使您不会被复杂性淹没,您仍然可以理解汇编如何工作。您甚至可以下载一个好用的小型IDE,以便编译您的MIPS代码:点击此处。 一旦您掌握了它,我认为转向更复杂的架构将更容易。至少那是我想的 :) 在这一点上,您将拥有内存分配和管理、逻辑流程、调试、测试等基本知识。
(来源:cmu.edu)
C:\Documents and Settings\User>cdb calc
Microsoft (R) Windows Debugger Version 6.10.0003.233 X86
Copyright (c) Microsoft Corporation. All rights reserved.
CommandLine: calc
Symbol search path is: *** Invalid ***
Executable search path is:
ModLoad: 01000000 0101f000 calc.exe
ModLoad: 7c900000 7c9b2000 ntdll.dll
ModLoad: 7c800000 7c8f6000 C:\WINDOWS\system32\kernel32.dll
ModLoad: 7c9c0000 7d1d7000 C:\WINDOWS\system32\SHELL32.dll
ModLoad: 77dd0000 77e6b000 C:\WINDOWS\system32\ADVAPI32.dll
ModLoad: 77e70000 77f02000 C:\WINDOWS\system32\RPCRT4.dll
ModLoad: 77fe0000 77ff1000 C:\WINDOWS\system32\Secur32.dll
ModLoad: 77f10000 77f59000 C:\WINDOWS\system32\GDI32.dll
ModLoad: 7e410000 7e4a1000 C:\WINDOWS\system32\USER32.dll
ModLoad: 77c10000 77c68000 C:\WINDOWS\system32\msvcrt.dll
ModLoad: 77f60000 77fd6000 C:\WINDOWS\system32\SHLWAPI.dll
(f2c.208): Break instruction exception - code 80000003 (first chance)
eax=001a1eb4 ebx=7ffd6000 ecx=00000007 edx=00000080 esi=001a1f48 edi=001a1eb4
eip=7c90120e esp=0007fb20 ebp=0007fc94 iopl=0 nv up ei pl nz na po nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000202
ntdll!DbgBreakPoint:
7c90120e cc int 3
0:000> r eax
eax=001a1eb4
0:000> r eax=0
0:000> a eip
7c90120e add eax,0x100
7c901213
0:000> u eip
ntdll!DbgBreakPoint:
7c90120e 0500010000 add eax,100h
7c901213 c3 ret
7c901214 8bff mov edi,edi
7c901216 8b442404 mov eax,dword ptr [esp+4]
7c90121a cc int 3
7c90121b c20400 ret 4
ntdll!NtCurrentTeb:
7c90121e 64a118000000 mov eax,dword ptr fs:[00000018h]
7c901224 c3 ret
0:000> t
eax=00000100 ebx=7ffd6000 ecx=00000007 edx=00000080 esi=001a1f48 edi=001a1eb4
eip=7c901213 esp=0007fb20 ebp=0007fc94 iopl=0 nv up ei pl nz na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000206
ntdll!DbgUserBreakPoint+0x1:
7c901213 c3 ret
0:000>`