《逆向工程核心原理》第三~五章知识整理

查看上一章节内容《逆向工程核心原理》第一~二章知识整理

对应《逆向工程核心原理》第三章到第五章内容

小端序标记法

字节序

- 多字节数据在计算机内存中存放的字节顺序
- 分为小端序和大端序两大类

大端序与小端序

BYTE b = 0x12;
WORD w = 0x1234;
DWORD dw = 0x12345678;
char str[] = "abcde";

TYPE	Name	字节	大端序	小段序
BYTE	b	1	[12]	[12]
WORD	w	2	[12][34]	[12][34]
DWORD	dw	4	[12][34][56][78]	[78][56][34][12]
char[]	str	6	[61][62][63][64][65][00]	[61][62][63][64][65][00]

1 字节，在二进制是 8 位，在十六进制是 2 位
内存地址：从低到高增长（如 0x1000 → 0x1001 → 0x1002）。
数据的高/低位：数值的权重高低。例如，0x12345678 中：

- 高位字节是 0x12（权重最大，像数字的“千位”），
- 低位字节是 0x78（权重最小，像数字的“个位”）

大端序：内存的低地址存储数据的高位字节

- 人类视角：从左到右（地址递增）阅读，数值顺序不变，符合直觉。
- 网络传输（网络字节序）、某些文件格式（如JPEG）
- 保存多字节数据很直观

小端序：低位字节在低地址，高位字节在高地址

- 硬件视角：低地址存低位字节，方便逐字节处理（如加法从低位开始）
- x86/x64架构CPU，内存中直接处理低位数据更高效

字符串：最后是以 NUll 结尾，a 的 ASCII 码十六进制是 0x61

- 字符串被保存在一个字符数组中，字符数组在内存中是连续的，无论采用大端序还是小端序，存储顺序都相同

在 OllyDbg 中查看 LittleEndian.exe 文件

#include "windows.h"
BYTE b = 0x12;
WORD w = 0x1234;
DWORD dw = 0x12345678;
char str[] = "abcde";int main(int argc, char *argv[])
{byte lb = b;WORD lw = w;DWORD ldw = dw;char *lstr = str;return 0;
}

直接给出 main() 函数的地址，按 Ctrl+G 跳转到 401000 地址处

可以看到我们的定义的变量 0x12 地址应该是 40AC40

可以发现，这些数据使用小端序存储

IA-32 寄存器

寄存器

寄存器是 CPU 内部用来存储数据的一些小型存储区域，有非常高的读写速度
与 RAM（随机存储器、内存）略有不同，CPU 访问 RAM 中的数据时要经过较长的物理路径，花费时间长

学习程序调试技术，需要学习调试器解析出的汇编指令

IA-32 提供了庞大的汇编指令，指令可以翻看 Intel 提供的用户手册了解，大部分汇编指令用于操作寄存器或检查其中的数据

IA-32 寄存器

IA-32 是英特尔推出的 32 位元架构，属于复杂的指令集架构，支持多种寄存器

基本程序运行寄存器是 IA-32 寄存器的一种

基本程序运行寄存器

E 表示扩展，表示该寄存器在 16 位 CPU（IA-16）时已存在，并且其大小在 IA-32 下由原 16 位扩展为 32 位

通用寄存器

4 字节 32 位，保存常量与地址
传送和暂存数据，参与算术逻辑运算，保存运算结果

各寄存器

- EAX：累加器（针对操作数和结果数据）

- - 用在函数返回值中，所有 Win32 API 函数都会先把返回值保存到 EAX 再返回

- EBX：基址寄存器（DS 段中的数据指针）
- ECX：计数器（字符串和循环操作）

- - 也可以用在循环命令（LOOP）中循环计数，每执行一次循环，ECX 减 1

- EDX：数据寄存器（I/O 指针）

以上 4 个寄存器主要用在算法运算（ADD、SUB、XOR、OR）指令中，常用来保存常量与变量的值

某些汇编指令（MUL、DIV、LODS）直接操作特定寄存器，执行这些命令，仅改变特定寄存器的值

- EBP：扩展基址指针寄存器（SS 段中栈内数据指针）

- - 表示栈区域的基地址，函数被调用时保存 ESP 的值，函数返回时再把值返回 ESP，保证栈不会崩溃（即栈帧技术）

- ESI：源变址寄存器（字符串操作源指针）
- EDI：目的变址寄存器（字符串操作目标指针）
- ESP：栈指针寄存器（SS 段中栈指针）

- - 指示栈区域的栈顶地址，某些指令（PUSH、POP、CALL、PET）可以直接用来操作 ESP

后四个寄存器主要用作保存内存地址的指针

对低 16 位兼容

- EAX：（0~31）32 位
- AX：（0~15）EAX 的低 16 位
- AH：（8~15）AX 的高 8 位
- AL：（0~7）AX 的低 8 位

段寄存器

段是一种内存保护技术。它把内存划分为多个区段，并为每个区段赋予起始地址。范围、访问权限等，以保护内存，
此外段还同分页技术一起用于将虚拟内存变更为实际物理内存。
段内存记录在 SDT（段描述符表）中，而段寄存器就持有这些 SDT 的索引
段寄存器由 6 中寄存器组成，每个寄存器大小为 2 字节 16 位，存放相应所在段的段基址

- CS：代码段寄存器
- SS：栈段寄存器
- DS：数据段寄存器
- ES：附加（数据）段寄存器
- FS：数据段寄存器

- - 用于计算 SEH（结构化异常处理机制）、TEB（线程环境块）、PEB（进程环境块）等地址

- GS：数据段寄存器

每个段寄存器指向的段描述符与虚拟内存结合，形成一个线性地址，借助分页技术，线性地址最终被转换为实际的物理地址

- 不使用分页技术的操作系统中，线性地址直接变为物理地址

程序状态与控制寄存器

EFLAGS：标志寄存器

- 大小为 4 字节 32 位，由原来 16 为 FLAGS 寄存器扩展而来
- 每位的值为 1 或 0
- ZF：零标志，若运算结果为 0，则值为 1，否则为 0
- OF：溢出标志，有符号整数溢出时，OF 值被设置为 1。MSB（最高有效位）改变时，其值也被设为 1
- CF：进位标志，无符号整数溢出时，其值也被设置为 1

指令指针寄存器

EIP：指令指针寄存器

- 指令指针寄存器保存着 CPU 要执行的指令地址，其大小为 4 字节 32 位，由原 16 位 IP 寄存器扩展而来。
- 程序执行时，CPU 会读取 EIP 中一条指令的地址，传送指令到指令缓冲区后，EIP 寄存器的值自动增加，增加的大小即是读取指令的字节大小
- 这样，CPU 每次执行完一条指令，就会通过 EIP 寄存器读取并执行下一条指令
- 与通用寄存器不同，不能直接修改 EIP 的值，只能通过其他指令间接修改，比如 JMP，Jcc，CALL，RET，还可以通过中断或异常修改 EIP 的值