查找操作码汇编指令
Finding opcode assembly instruction
我一直在尝试变形引擎。我开始尝试分析操作码汇编指令,但它似乎没有给我任何信息。我在函数中寻找的指令是 MOV。为什么它没有 return 任何东西,即使它们在函数中?
#include <iostream>
#include <Windows.h>
using namespace std;
struct OPCODE
{
unsigned short usSize;
PBYTE pbOpCode;
bool bRelative;
bool bMutated;
};
namespace MOVRegisters
{
enum MovRegisters
{
EAX = 0xB8,
ECX,
EDX,
EBX,
ESP,
EBP,
ESI,
EDI
};
}
bool __fastcall bIsMOV(PBYTE pInstruction)
{
if (*pInstruction == MOVRegisters::EAX || *pInstruction == MOVRegisters::ECX || *pInstruction == MOVRegisters::EDX || *pInstruction == MOVRegisters::EBX ||
*pInstruction == MOVRegisters::ESP || *pInstruction == MOVRegisters::EBP || *pInstruction == MOVRegisters::ESI || *pInstruction == MOVRegisters::EDI)
return true;
else
return false;
}
void pCheckByte(PVOID pFunction, PBYTE pFirstFive)
{
if (*pFirstFive == 0x0)
memcpy(pFirstFive, pFunction, 5);
else
memcpy(pFunction, pFirstFive, 5);
PBYTE pCurrentByte = (PBYTE)pFunction;
while (*pCurrentByte != 0xC3 && *pCurrentByte != 0xC2 && *pCurrentByte != 0xCB && *pCurrentByte != 0xCA)
{
OPCODE* pNewOp = new OPCODE();
pNewOp->pbOpCode = pCurrentByte;
if (bIsMOV(pCurrentByte))
{
cout << "mov instr.\n";
}
}
}
void function()
{
int eaxVal;
__asm
{
mov eax, 5
add eax, 6
mov eaxVal, eax
}
printf("Testing %d\n", eaxVal);
}
int main()
{
PBYTE pFirstFive = (PBYTE)malloc(5);
RtlZeroMemory(pFirstFive, 5);
while (true)
{
pCheckByte(function, pFirstFive);
system("pause");
}
return 0;
}
你看过function()的反汇编了吗?第一条指令可能不会是 mov eax, 5,因为 MSVC 可能使用内联汇编在函数中创建堆栈帧。 (push ebp / mov ebp, esp).
您的代码是否真的遍历了函数的字节?你有一个循环,但它每次迭代都会泄漏内存。 pNewOp 的唯一出现是,所以它是只写的。
OPCODE* pNewOp = new OPCODE();
pNewOp->pbOpCode = pCurrentByte;
请注意,遍历所有字节会产生误报,因为 0xb3 或任何可能作为非操作码字节出现的内容。 (例如 ModR/M 或 SIB 字节,或即时数据。)同样,您可能会在 0xC3 上出现误报,...扫描 ret instructions。再次查看原始机器代码的反汇编。
编写自己的代码来解析 x86 机器代码似乎是很多不必要的工作;有很多工具和库已经可以做到这一点。
此外,在调试器中单步执行您的 C++ 代码,看看它做了什么。
我一直在尝试变形引擎。我开始尝试分析操作码汇编指令,但它似乎没有给我任何信息。我在函数中寻找的指令是 MOV。为什么它没有 return 任何东西,即使它们在函数中?
#include <iostream>
#include <Windows.h>
using namespace std;
struct OPCODE
{
unsigned short usSize;
PBYTE pbOpCode;
bool bRelative;
bool bMutated;
};
namespace MOVRegisters
{
enum MovRegisters
{
EAX = 0xB8,
ECX,
EDX,
EBX,
ESP,
EBP,
ESI,
EDI
};
}
bool __fastcall bIsMOV(PBYTE pInstruction)
{
if (*pInstruction == MOVRegisters::EAX || *pInstruction == MOVRegisters::ECX || *pInstruction == MOVRegisters::EDX || *pInstruction == MOVRegisters::EBX ||
*pInstruction == MOVRegisters::ESP || *pInstruction == MOVRegisters::EBP || *pInstruction == MOVRegisters::ESI || *pInstruction == MOVRegisters::EDI)
return true;
else
return false;
}
void pCheckByte(PVOID pFunction, PBYTE pFirstFive)
{
if (*pFirstFive == 0x0)
memcpy(pFirstFive, pFunction, 5);
else
memcpy(pFunction, pFirstFive, 5);
PBYTE pCurrentByte = (PBYTE)pFunction;
while (*pCurrentByte != 0xC3 && *pCurrentByte != 0xC2 && *pCurrentByte != 0xCB && *pCurrentByte != 0xCA)
{
OPCODE* pNewOp = new OPCODE();
pNewOp->pbOpCode = pCurrentByte;
if (bIsMOV(pCurrentByte))
{
cout << "mov instr.\n";
}
}
}
void function()
{
int eaxVal;
__asm
{
mov eax, 5
add eax, 6
mov eaxVal, eax
}
printf("Testing %d\n", eaxVal);
}
int main()
{
PBYTE pFirstFive = (PBYTE)malloc(5);
RtlZeroMemory(pFirstFive, 5);
while (true)
{
pCheckByte(function, pFirstFive);
system("pause");
}
return 0;
}
你看过function()的反汇编了吗?第一条指令可能不会是 mov eax, 5,因为 MSVC 可能使用内联汇编在函数中创建堆栈帧。 (push ebp / mov ebp, esp).
您的代码是否真的遍历了函数的字节?你有一个循环,但它每次迭代都会泄漏内存。 pNewOp 的唯一出现是,所以它是只写的。
OPCODE* pNewOp = new OPCODE();
pNewOp->pbOpCode = pCurrentByte;
请注意,遍历所有字节会产生误报,因为 0xb3 或任何可能作为非操作码字节出现的内容。 (例如 ModR/M 或 SIB 字节,或即时数据。)同样,您可能会在 0xC3 上出现误报,...扫描 ret instructions。再次查看原始机器代码的反汇编。
编写自己的代码来解析 x86 机器代码似乎是很多不必要的工作;有很多工具和库已经可以做到这一点。
此外,在调试器中单步执行您的 C++ 代码,看看它做了什么。