逆向x64-small-trick

????在逆向一些x64的代码时,会发现有一小段汇编代码理解不了,这个时候回想,要是能单独执行这一小段汇编就好了。现在我就介绍一个我的解决方法:很小汇编一段代码,但是不好理解,我就把它单独写成了一个函数,供c语言调用,这样下来执行个几次,就大概知道意思了。

????当然了,完全可以设置rip/rdi/rsi/rdx/rcx/r8/r9等寄存器为想要的值后执行即可,这是另外的一种方法。

?

?

????编译:nasm -f elf64 -o func func.asm

????????gcc -std=c99 func main.c -o main

????执行结果:

????

????大概就能猜测书来,func这个函数执行了mod 7的运算。

时间: 2024-10-01 04:33:48

逆向x64-small-trick的相关文章

自制window下core animation引擎 - demo第二弹 - 仿QQ电脑管家加速小火箭

一年前想写一个像cocoa那样,可以方便层动画开发的引擎,写着写着又逆向它的QuartzCore.framework,也就是CoreAnimation的底层,已经大半年没有搞windows这个引擎.大体来看,动画简单来说有9要素,矩形区域(x, y, w, h),仿射变换矩阵(translation, rotation, scale),还有就是透明度alpha,除此还必须有线性变化函数.这些在cocoa中构成了最基本的动画,也最常用,通常提交动画一个始态,一个终态,以及时间就OK了.有次序的动画

X64下MmIsAddressValid的逆向及内存寻址解析

标 题: [原创]X64下MmIsAddressValid的逆向及内存寻址解析 作 者: 普通朋友 时 间: 2015-10-21,20:03:52 链 接: http://bbs.pediy.com/showthread.php?t=205143 在内核编程时,经常会用到MmIsAddressValid来检测地址是否有效,结合之前学过的虚拟地址到物理地址之间的转化,所以发一篇对该函数的逆向以及代码还原,x86的资料论坛以及网络有很多了,所以这里楼主只谈一下Win7 x64下的MmIsAddre

PowerTool x64驱动模块逆向分析(持续更新)

比赛打完了,来继续搞了,因为那个主动防御正在写,所以想找找思路正好想到可以来逆向一下PT的驱动模块看看pt大大是怎么写的程序. PT x64版本的驱动模块是这个kEvP64.sys. 先来看看DriverEntry 1 //IDA伪代码 2 __int64 __fastcall sub_3A010(struct _DRIVER_OBJECT *a1, __int64 a2) 3 { 4 char *v2; // [email protected] 5 signed __int64 i; // [

【CTF】逆向基础知识1

虽然逆向涉及的知识比较多,但是如果把应用限定在CTF题目之类的话,我们这里对经常用到的一些基础知识做一个总结. 思路来源:Blue-lotus&信协集训&c++安全编码&0day安全&Google stack frame 的基本概念 ebp 的作用是? ebp和esp是栈的顶端.底端的标志 ebp 和 esp 是怎么相互配合的? 相互配合是指在函数调用时,ebp入栈,被赋新值,然后esp抬高,从而在函数调用时开辟新的栈帧并保持栈帧平衡. calling convention

ISG 2014 逆向题分析

文章作者:Crack_Qs[4st][PDG] 使用工具:Vs 2013.ollydbg 1.10 测试平台:windows 7 x64 ///////////////////////////////////////////////////////////////////////////////////////////////////// 验证CALL: 013C1050 /$ 55 PUSH EBP ; 验证CALL013C1051 |. 8BEC MOV EBP, ESP013C1053 |

hopper逆向的伪代码令人大跌眼镜

网上介绍hopper有逆向伪代码的文章很多,并以为其是万能而且cool B的.但是并没有人去求证hopper的逆向伪代码参考系数(参考价值,大家做过开发都清楚明白,有些功能看起来很花很cool但不实用)有多高,或者说可信度正确率(至少不要误导人,这比自己直接逆向分析反汇编代码有误还要冤狂).上一篇已经提出了这个问题,本篇就来进一步求证,我只本着高中时代上过的政治思想课里面毛论中的实事求是精神,和一个程序员对代码的热爱,并非挑事端. 从我已经逆向过的函数中挑选三个出来,用hopper进行逆向输出伪

NSCTF2015 逆向第五题分析

这道题目我没有写出Exploit,因为编码时候里面几个细节处理出错.但对程序的逆向分析已完成,这里就学习一下别人写Exploit的思路.主要参考:绿盟科技网络攻防赛资料下载 0x01 题目要求 题目要求如下: 1.找出Exploit.exe中的漏洞.简单分析漏洞的成因,包括漏洞类型.相关的反汇编或伪C代码以及说明信息等. 2.在开启DEP+ASLR的系统里运行Exploit.弹出计算器. 0x02 漏洞分析 首先脱掉ASPack壳,OEP如下: 使用IDA分析,发现这是一个Socket serv

Luxion.KeyShot.Pro/Stackup.7.0.456.x64 公差分析软件

ARCHLine.XP.2017.R1 x64CSI.Bridge.2017.Advanced.with.Rating.v19.2.0.build.1354CSI.SAP2000.v19.2.0.build.1354Geometric.Stackup.2.1.0.15461 公差分析软件Luxion.KeyShot.Pro.7.0.456.x64 公差分析软件Dassault.Systemes.SIMULIA.SIMPACK.2018Siemens.Tecnomatix.Plant.Simula

【逆向篇】分析一段简单的ShellCode——从TEB到函数地址获取

其实分在逆向篇不太合适,因为并没有逆向什么程序. 在http://www.exploit-db.com/exploits/28996/上看到这么一段最简单的ShellCode,其中的技术也是比较常见的,0day那本书上也提到过,大神都用烂了.不过想来很久没有碰汇编了,就心血来潮,权当温习一下. /* User32-free Messagebox Shellcode for any Windows version ==========================================