汇编（一）- 前置技能点

学习汇编，可以应用在逆向、外挂等用途，能帮助我们对计算机运行程序本质认识得更清楚

前置知识

32位系统与64位系统区别

• 32位操作系统，是用32个0、1来表示1个内存单元(字节)地址，即内存地址范围用16进制表示为0x00000000 ~ 0xEEEEEEEE，共0xFFFFFFFF个字节，约等于4GB。

image

• 64位操作系统，是用64个0、1来表示1个内存单元(字节)地址，即内存地址范围用16进制表示为0x00000000 00000000 ~ 0xEEEEEEEE EEEEEEEE，共0xFFFFFFFF FFFFFFFF个字节，约等于16EB（16000PB）。目前电脑的地址总线数量不到64位，即使有这么大的内存条也不能完全利用。

虚拟内存

操作系统会将内存中的物理内存映射为虚拟内存。比如变量a的内存地址为0x10000001，该地址值为虚拟内存地址值。

软件运行本质

image

大小端模式

• 大端模式，是指数据的高字节保存在内存的低地址中，而数据的低字节保存在内存的高地址中，这样的存储模式有点儿类似于把数据当作字符串顺序处理：地址由小向大增加，而数据从高位往低位放；这和我们的阅读习惯一致。
• 小端模式，是指数据的高字节保存在内存的高地址中，而数据的低字节保存在内存的低地址中，这种存储模式将地址的高低和数据位权有效地结合起来，高地址部分权值高，低地址部分权值低。

image image

内存划分

• 内核区，操作系统占用部分内存
• 代码段，编译后的代码存放的区域
• 数据段，全局变量、静态变量存放的地方
• 堆
• 栈

栈平衡

x86 32位栈指针寄存器寄存器：esp、ebp，对应的64位栈指针寄存器寄存器为 rsp、rbp。函数调用完成时，esp、ebp会恢复到调用前的位置，实现栈平衡。

• Intel 汇编格式
  • esp 栈顶指针
  • ebp 当前调用函数的栈底指针
• AT&T 汇编格式
  • esp 调用当前函数的函数的栈顶指针
  • ebp 调用当前函数的函数的栈底指针

编程语言的发展

image

汇编

汇编的种类

image

• x86 AT&T 和 Intel 汇编书写格式区别

image

• x64 AT&T 和 Intel 汇编书写格式区别

  
  image

寄存器

不同架构寄存器是不一样的，1个寄存器的大小就是当前系统1个指针的大小，32位系统4个字节，64位系统8个字节。

• x64架构寄存器，兼容x86

  
  image

image

• arm64 架构寄存器

  • 通⽤寄存器
    
    64bit的：x0 ~ x28
    
    32bit的：w0 ~ w28（属于x0 ~ x28的低32bit）
    
    x0 ~ x7通常拿来存放函数的参数，更多的参数使⽤堆栈来传递
    
    x0通常拿来存放函数的返回值

  • 程序计数器
    
    pc（Program Counter）
    
    记录CPU当前指令的是哪⼀条指令
    
    存储着当前CPU正在执⾏的指令的地址
    
    类似于8086汇编的ip寄存器

  • 堆栈指针
    
    sp（Stack Pointer）
    
    fp（Frame Pointer），也就是x29

  • 链接寄存器
    
    lr（Link Register），也就是x30
    存储着函数的返回地址

  • 程序状态寄存器
    
    cpsr（Current Program Status Register）
    
    spsr（Saved Program Status Register），异常状态下使⽤

image

x64 Intel汇编指令

权威参考：Intel白皮书

image image

x64 AT&T 汇编指令

指令与x64 Intel汇编指令一致，只不过书写格式有所差异

arm64 汇编指令

官方文档：Arm® Architecture Reference Manual Armv8, for Armv8-A architecture profile

• mov
• ret
  • 函数返回
  • 将lr（x30）寄存器的值赋值给pc寄存器
• add
• sub
• cmp
  • 将2个寄存器相减
  • 相减的结果会影响cpsr寄存器的标志位
• b
  • 跳转指令
  • 可以带条件跳转，⼀般跟cmp配合使⽤
• bl
  • 带返回的跳转指令
  • 执⾏的操作
    • 将下⼀条指令的地址存储到lr（x30）寄存器中
    • 跳转到标记处开始执⾏代码
• 条件域
  • EQ：equal，相等
  • NE：not equal，不相等
  • GT：great than，⼤于
  • GE：greate equal，⼤于等于
  • LT：less than，⼩于
  • LE：less equal，⼩于等于
• 内存操作
  • load，从内存中读取数据
  • ldr、ldur
  • ldp（p是pair的简称）
• store，往内存中写⼊数据
  • str、stur
  • stp
• 零寄存器，⾥⾯存储的值是0
  • wzr（32bit，Word Zero Register）
  • xzr（64bit）

参考资料

1. MJ教你玩汇编
2. 30小时快速精通C++和外挂实战
3. 从入门到精通Swift编程
4. APP逆向实战