汇编

数据带宽

DWORD是单浮点

QWORD是双浮点

寄存器

汇总

详细

32位

64位

64位通用寄存器

64位指令指针寄存器 RIP

64位标志寄存器 RFLAGS

汇编指令基本结构

指令

每个指令包括：操作码（MOV、ADD、SUB）和操作数（操作对象）

操作数

操作数有以下几种类型：

操作符

栈结构

数据传输指令

F8：单步执行

ctrl+G：跳转到某个地址

若遇到编码问题

中文–》GBK格式

FS寄存器、TEB、PEB

https://crackmes.cn/doc/107/


ntdll!_TEB
   +0x000 NtTib            : _NT_TIB  //TIB结构
   	[+0x000] ExceptionList    : 0x1df360 [Type: _EXCEPTION_REGISTRATION_RECORD *]//指向SEH链
    [+0x004] StackBase        : 0x1e0000 [Type: void *]//堆栈基址
    [+0x008] StackLimit       : 0x1dd000 [Type: void *]//堆栈大小
    [+0x00c] SubSystemTib     : 0x0 [Type: void *]//
    [+0x010] FiberData        : 0x1e00 [Type: void *]
    [+0x010] Version          : 0x1e00 [Type: unsigned long]
    [+0x014] ArbitraryUserPointer : 0x0 [Type: void *]
    [+0x018] Self             : 0x7ffde000 [Type: _NT_TIB *]//指向自身的指针,也就是说Self同时是指向TEB和TIB头部的指针(因为TIB为TEB结构的第一个成员)
   +0x01c EnvironmentPointer : Ptr32 Void//环境指针
   +0x020 ClientId         : _CLIENT_ID//CLIENT_ID结构,存储PID和当前线程ID
   +0x028 ActiveRpcHandle  : Ptr32 Void//活动的RPC句柄
   +0x02c ThreadLocalStoragePointer : Ptr32 Void//指向线程局部存储数组
   +0x030 ProcessEnvironmentBlock : Ptr32 _PEB//指向PEB结构
   +0x034 LastErrorValue   : Uint4B//保存着LastError的值
   +0x038 CountOfOwnedCriticalSections : Uint4B//所拥有的临界区数量
   +0x03c CsrClientThread  : Ptr32 Void//指向CSR客户线程
   +0x040 Win32ThreadInfo  : Ptr32 Void//指向Win32线程信息
   +0x044 User32Reserved   : [26] Uint4B
   +0x0ac UserReserved     : [5] Uint4B
   +0x0c0 WOW32Reserved    : Ptr32 Void
   +0x0c4 CurrentLocale    : Uint4B//当前的Locale
   +0x0c8 FpSoftwareStatusRegister : Uint4B//FP软件状态寄存器
   +0x0cc SystemReserved1  : [54] Ptr32 Void
   +0x1a4 ExceptionCode    : Int4B//异常码
   +0x1a8 ActivationContextStackPointer : Ptr32 _ACTIVATION_CONTEXT_STACK//指向活动上下文栈的指针
   +0x1ac SpareBytes       : [36] UChar//空闲字节
   +0x1d0 TxFsContext      : Uint4B
   +0x1d4 GdiTebBatch      : _GDI_TEB_BATCH
   +0x6b4 RealClientId     : _CLIENT_ID
   +0x6bc GdiCachedProcessHandle : Ptr32 Void
   +0x6c0 GdiClientPID     : Uint4B//真实的进程PID
   +0x6c4 GdiClientTID     : Uint4B//真实的线程TID
.......
//其他便宜

TEB偏移0x30的地方指向PEB

 
0:000> dt nt!_peb 7ffdd000
ntdll!_PEB
   +0x000 InheritedAddressSpace : 0 ''
   +0x001 ReadImageFileExecOptions : 0 ''
   +0x002 BeingDebugged    : 0x1 ''    //判断进程是否被调试，true为被调试
   +0x003 SpareBool        : 0 ''
   +0x004 Mutant           : 0xffffffff Void
   +0x008 ImageBaseAddress : 0x00400000 Void   //进程映像基址，就是PE中的IMAGE_OPTIONAL_HEADER->ImageBase对应的值。对于EXE来说，默认的ImageBase为0x400000；对于DLL来说，它是0x10000000，当打开ASLR时应该会变，**待验证**
 
----------
 
   +0x00c Ldr              : 0x00251ea0 _PEB_LDR_DATA
 
    LoaderData域是PEB中一个很重要的成员域，它是一个指向PEB_LDR_DATA结构体的指针。它由PE Loader(加载器)填充，也就说，在这个指针指向的结构中，可以找到很多在PE中包含的信息。另外，我们在做Buffer OverFlow的时候经常会遇到这个数据结构，枚举用户进程加载的模块就和它密切相关。我们扩展出去，详细学习一下这个结构。
 
   0:000> dt _PEB_LDR_DATA 0x00251ea0
ntdll!_PEB_LDR_DATA
   +0x000 Length           : 0x28       //结构长度
   +0x004 Initialized      : 0x1 ''     //进程是否初始化完成
   +0x008 SsHandle         : (null) 
   +0x00c InLoadOrderModuleList : _LIST_ENTRY [ 0x251ee0 - 0x252848 ]
   +0x014 InMemoryOrderModuleList : _LIST_ENTRY [ 0x251ee8 - 0x252850 ]
   +0x01c InInitializationOrderModuleList : _LIST_ENTRY [ 0x251f58 - 0x252798 ]
    //nLoadOrderModuleList、InMemoryOrderModuleList、InInitializationOrderModuleList这三个域都是指向它们各自的双链表中的下一个LDR_MODULE的LIST_ENTRY
   +0x024 EntryInProgress  : (null) 

   +0x000 MaximumLength    : 0x1000    //
   +0x004 Length           : 0x7e4    //结构大小
   +0x008 Flags            : 0x2001    //是否由RtlNormalizeProcessParams标准化
   +0x00c DebugFlags       : 0
   +0x010 ConsoleHandle    : (null)     //该进程的窗口句柄，如果有的话
   +0x014 ConsoleFlags     : 0
   +0x018 StandardInput    : (null) 
   +0x01c StandardOutput   : 0x00010001 Void
   +0x020 StandardError    : (null) 
   +0x024 CurrentDirectory : _CURDIR
   +0x030 DllPath          : _UNICODE_STRING "C:\Documents and Settings\Administrator\桌面;C:\WINDOWS\system32;C:\WINDOWS\system;C:\WINDOWS;.;C:\Program Files\Debugging Tools for Windows (x86)\winext\arcade;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem"
   +0x038 ImagePathName    : _UNICODE_STRING "C:\Documents and Settings\Administrator\桌面\csnbes_1.0.0.8.exe"
   +0x040 CommandLine      : _UNICODE_STRING ""C:\Documents and Settings\Administrator\桌面\csnbes_1.0.0.8.exe""
   +0x048 Environment      : 0x00010000 Void
   +0x04c StartingX        : 0
   +0x050 StartingY        : 0
   +0x054 CountX           : 0
   +0x058 CountY           : 0
   +0x05c CountCharsX      : 0
   +0x060 CountCharsY      : 0
   +0x064 FillAttribute    : 0
   +0x068 NtGlobalFlag;    : NtGlobalFlag
   +0x06c ShowWindowFlags  : 0
   +0x070 WindowTitle      : _UNICODE_STRING "C:\Documents and Settings\Administrator\桌面\csnbes_1.0.0.8.exe"
   +0x078 DesktopInfo      : _UNICODE_STRING "WinSta0\Default"
   +0x080 ShellInfo        : _UNICODE_STRING ""
   +0x088 RuntimeData      : _UNICODE_STRING ""
   +0x090 CurrentDirectores : [32] _RTL_DRIVE_LETTER_CURDIR

PEB是为了防止他人调试我发布的软件，主要使用到的地址是0x002和0x068

为了避免被检测到，尽量用附加进程而不是直接拖入调试

算数运算指令

位操作指令

逻辑运算指令：

AND OR XOR NOT TEST

移位指令：

逻辑、算术移位指令：
SHL SHR SAL SAR
循环、带进位循环移位指令：
ROL ROR RCL RCR

XOR 异或指令：有且仅有一个为真，结果才为真

NOT：取反

SHL：逻辑左移指令，整体向左移动一位，最低位用 0 填充，最高位移入进位标志位(CF)，该标志位原来的值被丢弃（举例：0110 0011–》1100 0110）

SHR：逻辑右移指令。将寄存器或内存单元的数据右移，最高位用 0 补充，最低位进入 CF

ROL：循环左移指令，（举例：1110 0011–》1100 0111）

ROR：循环右移指令

sal：算数左移。功能与shl相同

sar：算数右移。每位右移, 低位进 CF, 高位不变

RCL: 循环左移, 进位值(原CF)到低位, 高位进 CF

RCR: 循环右移, 进位值(原CF)到高位, 低位进 CF

逻辑比较指令

cmp指令

cmp：”比较”，cmp会对两个操作数进行减法运算，通过计算两个操作数的差值来影响标志位。cmp不会存储减法的结果，而是仅更新标志寄存器（如零标志ZF、进位标志CF、符号标志SF、溢出标志OF、偶校验标志PF、辅助进位标志AF），通常的比较操作数之间的关系有（大于、小于、等于）

cmp最常见的应用是与条件跳转指令（JE、JNE、JG、JL等）配合使用，以决定程序的执行流。

关注点：

看谁和谁作比较
比较结果会影响标志寄存器（ZF）
标志寄存器（ZF）会影响je跳转的方向

test指令

test：执行“按位与”运算，不存结果，仅设置标志位TEST AX,BX与AND AX,BX命令有相同效果，只是Test指令不改变AX和BX的内容，而AND指令会把结果保存到AX中。

常见用途：

检查特定的标志位：如需检查某个标志位是否为1，可以用test实现
检查寄存器中某些特定位是否被置1，例如test eax，0x01可以检查eax的最低为是否为1

控制转移指令

作用：改变程序的执行流程

ja 如果大于则跳转 ja label

jb 如果小于则跳转 jb label

je/jz Jump if Equal/Jump if Zero

jne/jnz Jump if Not Equal/Jump if Not Zero

call

本质：1.push返回地址（call执行完的下一行代码地址）；2.进入到call内部执行（相当于jmp到子函数的位置）；3.执行完子程序，ret到1的返回地址

F7可以步入到call子程序里面

栈操作指令

作用：用于栈管理

字符串操作指令

mov指令：字符串赋值

rep movsb指令：批量复制字符串数据

cmp指令：检测字符串是否匹配；用于实现strcmp、strncmp等

scas指令：

stos指令：

loads指令：

堆栈中的字符串操作：

浮点运算指令

FPU（Floating Point Unit，浮点运算单元）

定义：FPU是处理器中的一个硬件模块，专门负责浮点运算。
功能：处理浮点数的加减乘除、平方根、三角函数等复杂操作。
实现：

在早期X86处理器中，FPU是一个独立的协处理器（如Intel 8087）

从80486开始，FPU集成进了cpu模块

FPU的组成：

寄存器堆栈：
1. 8个80位宽的浮点寄存器（ST0-ST7），以堆栈形式组织。
2. 通过push和pop模式操作寄存器
状态寄存器：用于保存堆栈状态（如堆栈深度）和计算标志（如c0-c3）
控制寄存器：配置FPU的工作模式（如精度、舍入模式等）

X87指令集

定义：X87是专门为FPU设计的一套指令集，早期专用于处理浮点运算
特点：
- 操作对象是FPU的堆栈寄存器（ST0-ST7）
- 指令风格通常是Fxxx开头，比如FLD（加载浮点数）、FADD（浮点数加法）
- 支持扩展精度（80位），比SSE的单精度和双精度浮点数更高
代表指令：
- FLD/FST：加载/存储浮点数
- FADD/FSUB：浮点数加法/减法
- FMUL/FDIV：浮点数乘法/除法
- FCOM/FUCOM：比较浮点数
X87适用场景
- 高精度计算（科学计算）
- 需要80位扩展精度支持的场景

SSE（Streaming SIMD Extensions）

定义：SSE是intel在x86处理器上引入的一套SIMD（单指令多数据）扩展指令集
特点：
- 采用xmm寄存器（每个128位宽）
- 支持并行处理多个单精度（32位）或双精度（64位）浮点数
- 指令风格是xxxPS（处理单精度矢量）或xxxSD(处理双精度矢量）
优势：
- 更快的浮点计算（无需堆栈操作）
- 并行处理多个浮点数（提高性能）
SSE使用场景：
- 并行计算（如多媒体、游戏、音视频处理）
- 性能要求较高但不需要扩展精度的场景