CTF培训Reverse(1)优质精选文档.pptVIP

函数传参规则x86所有参数都在栈上函数返回值在eax寄存器中x86_64函数参数依次存在rdi、rsi、rdx、rcx、r8、r9中若参数超过6个的话，之后的参数存在栈上函数返回值在rax寄存器中*常见函数调用方式_stdcallWindowsAPI默认的函数调用规则_cdeclC/C++默认的函数调用规则_fastcall适用于对性能要求较高的场合调用方式对比_stdcall函数参数由右向左入栈函数调用结束后由被调用函数清除栈内数据_cdecl函数参数由右向左入栈函数调用结束后由调用者函数清除栈内数据*SEH结构化异常处理（StructuredExceptionHandling）特点链表存放在栈中顺序判断都无法处理时，调用系统默认处理函数*Reverse02逆向工程基础知识介绍逆向工程以反汇编阅读源码的方式去推断其数据结构、体系结构和程序设计信息方法：通过信息交换所得的观察。反汇编反编译动态调试工具——OllyDebug代码区寄存器区内存区栈区CTF培训——Reverse安全研究员威胁情报与网络安全实验室关注：漏洞分析，漏洞挖掘，应急响应添加副标题单击添加大标题基础知识PE（PortableExecutable）可移植的可执行文件后缀：exe、dll、sysWindowsPE文件结构PE文件结构.rsrc模块的资源信息.data变量信息.text可执行代码段LinuxELF（ExecutableandLinkableFormat）可执行和可链接文件后缀：0，so，elfELF文件结构.text已编译程序的机器代码.symtab符号表它存放在程序中被定义和引用的函数和全局变量的信息.strtab一个字符串表，其内容包括.symtab和.debug节中的符号表.bss存放程序中未初始化的全局变量和静态变量的一块内存区域。特点是可读写的Big-Endian（大端）ArchMIPSARM高字节保存在内存的低地址中，低字节保存在内存的高地址中Big-Endian（大端）ArchMIPSARM高字节保存在内存的低地址中，低字节保存在内存的高地址中程序转移指令逻辑运算指令算术运算指令数据传输指令汇编指令分类数据传输指令MOVMOVeax,[ESP]PUSHPOPLEALEAeax,[0xABCD]ADDINCSUBDECMUL/IMULDIV/IDIV算术运算指令逻辑运算指令ANDORXORNOTSHLSHR程序转移指令无条件转移JMPCALLRET/RETN有条件转移J[Condition]JG/JNLE大于转移.?

JGE/JNL大于或等于转移.?

JL/JNGE小于转移.?

JLE/JNG小于或等于转移返回指令RETPOPeipLEAVEMOVesp,ebpPOPebpX86架构4个数据寄存器(EAX、EBX、ECX和EDX)2个变址和指针寄存器(ESI和EDI)2个指针寄存器(ESP和EBP)6个段寄存器(ES、CS、SS、DS、FS和GS)1个指令指针寄存器(EIP)1个标志寄存器(EFlags)X86_64架构12个数据寄存器(RAX、RBX、RCX、RDX、R8-R15)2个变址和指针寄存器(RSI和RDI)2个指针寄存器(RSP和RBP)6个段寄存器(ES、CS、SS、DS、FS和GS)1个指令指针寄存器(RIP)1个标志寄存器(RFlags)*汇编书写格式Intelpushebpmovebp,espsubesp,0x10movDWORDPTR[ebp-0x4],0x0movDWORDPTR[ebp-0x4],0x3moveax,0x0leaveretATTpush%ebpmov%esp,%ebpsub$0x10,%espmovl$0x0,-0x4(%ebp)movl$0x3,-0x4(%ebp)mov$0x0,%eaxleaveret*栈（stack）数据结构(LIFO,LastInFirstOut,后进先出)存储内容变量，函数调用信息栈增长方向高地址-低地址栈操作相关寄存器ESP(RSP,x86_64)ExtendedStackPointer当前栈顶指针