我对编译器的魔法不是很熟悉。将人类可读的代码(或者几乎不可读的汇编指令)转换成机器码,对我来说就像是融合了火箭科学和巫术。
我将问题范围缩小到Win32可执行文件(.exe)。当我在专用的查看器中打开这些文件时,我可以在各个地方找到散落的字符串(通常每个字符16位),但其余部分都是垃圾。我想未读取的部分(大部分)是机器码(或者可能是资源,如图像等等)。
有没有一种简单的方法来读取机器码?打开exe作为文件流,并逐字节读取,如何将这些单独的字节转换为汇编?这些指令字节与汇编指令之间是否有直接的映射关系?
.exe文件是如何编写的?每条指令四个字节?更多?更少?我注意到有些应用程序可以轻松地创建可执行文件:例如,在ACD See中,您可以将一系列图像导出为幻灯片演示文稿。但这不一定是SWF幻灯片演示文稿,ACD See也能够生成EXE演示文稿。这是如何完成的?
我如何理解EXE文件内部发生了什么?
OllyDbg 是一个很棒的工具,它可以将可执行文件反汇编成易读的指令,并允许你逐条执行这些指令。它还可以告诉你程序使用了哪些 API 函数以及可能提供的参数(只要这些参数在堆栈中被找到)。
一般来说,CPU 指令长度不固定,有的是一个字节,有的是两个、三个、四个等等。这主要取决于指令需要处理的数据类型。一些指令是泛化的,比如“mov”指令,它告诉 CPU 将数据从 CPU 寄存器移动到内存中的某个位置,或者反之。实际上,有许多不同的“mov”指令,用于处理 8 位、16 位、32 位数据,用于从不同的寄存器移动数据等等。
你可以阅读 Paul Carter 博士的PC Assembly Language Tutorial,这是一本入门级别的免费书籍,介绍了汇编语言和英特尔 386 CPU 的工作原理。其中大部分知识即使在现代的消费级英特尔 CPU 中也适用。
EXE 格式是特定于 Windows 的。入口点(即第一条可执行指令)通常在 EXE 文件中相同的位置上找到。这些内容一下子讲解可能有些困难,但我提供的资源应该能够满足你的一部分好奇心! :)
您可以使用命令行调试,但这很困难。
C:\WINDOWS>debug taskman.exe
-u
0D69:0000 0E PUSH CS
0D69:0001 1F POP DS
0D69:0002 BA0E00 MOV DX,000E
0D69:0005 B409 MOV AH,09
0D69:0007 CD21 INT 21
0D69:0009 B8014C MOV AX,4C01
0D69:000C CD21 INT 21
0D69:000E 54 PUSH SP
0D69:000F 68 DB 68
0D69:0010 69 DB 69
0D69:0011 7320 JNB 0033
0D69:0013 7072 JO 0087
0D69:0015 6F DB 6F
0D69:0016 67 DB 67
0D69:0017 7261 JB 007A
0D69:0019 6D DB 6D
0D69:001A 206361 AND [BP+DI+61],AH
0D69:001D 6E DB 6E
0D69:001E 6E DB 6E
0D69:001F 6F DB 6F
关于这个问题,还有人会读CD 21之类的东西吗?
我记得桑德拉·布洛克在一部节目中,实际上读了一屏十六进制数,并弄清了程序的作用。有点像现在阅读Matrix代码的版本。
如果你确实读过CD 21之类的东西,你是如何记住不同的组合的呢?
我建议您拿一些Windows C源代码,在Visual Studio中构建并开始调试。切换到反汇编视图并逐个步骤地执行命令。您可以看到C代码已编译为机器码 - 并逐步观察其运行。
想要了解情况,可以在一些有趣的代码上设置断点,然后转到CPU窗口。
如果您想了解更多信息,可以使用-al参数编译Free Pascal的短片段更容易。
FPC允许使用-A参数以多种汇编格式(TASM、MASM、GAS)输出生成的汇编程序,并且您可以将原始Pascal代码交错在注释中(等等),以便进行轻松的交叉引用。
因为它是编译器生成的汇编程序,而不是从反汇编的.exe获得的汇编程序,所以它更具象征意义,更易于跟踪。