64位技术现在还不成熟,没有好调试器,但是我们搞技术的总是对新东西充满了好奇和热情。这个理由就足够我们现在开始学习64位汇编了!OK,Let's go on。

1.  再说Calling convention

关于API的调用方式,在入门(1)中说了一些,不过感觉有必要再讲两点。一是在调用API时椎栈的框架,也就是Stack Frame,二是利用反汇编64位C/C++程序来研究calling convention。
先说Stack Frame。图1是一个通用的椎栈框架。
11

在一个使用STDCALL的32位程序中,stack frame的四项工作:
(1)  传入参数的调用;
(2)  在返回caller时,callee要负责平衡椎栈;
(3)  给局部变量提供空间;
(4)  保证ebx、esi、edi和ebp四个寄存器的值不变(这种寄存器被称为non-volatile)。
在64位环境中,少了一个平衡椎栈的任务,因为平衡椎栈的工作由caller负责了,因此callee的stack frame只剩下三项工作:
(1)  将寄存器传入的参数和其它超过4个以上的参数在椎栈上保存(入栈);
(2)  给局部变量提供空间;
(3)  保证non-volatile寄存器的值不变,包括ebp、ebx、rdi、rsi、r12到r15,xmm6到xmm15。

所以,在一个函数的开始往往有如下代码:

 

图2摘自GoASM的帮助文档,上文描述的情况在图中一目了然。
21

如果能在VC中编译64位C/C++程序,再用IDA反汇编,不是挺好的吗?正确,这正是我们玩儿逆向工程的人喜欢的方法。Visual Studio 2005的64位开发环境设置网上有,这里不多说了。以一个C/C++的代码为例:

代码:

这段代码是一个地球人都知道的窗口消息处理代码,在编译为64位程序后,用ida64看一下它的反汇编。这样,熟悉而又有点陌生的64位汇编代码就出来了,包括消息的判断,EndDialog的调用等,确实很方便。

41

 

2.  第二个汇编例子:SMC

在入门(1)中我们写了第一个64位的汇编程序,这里我们开始写第二个。当然,代码本身还是有点意思的,这就是Self Modify Code。让我们试一试SMC在64位下进行的如何?这还牵涉到vista的特性。代码来自修改过的参考资料《About RIP relative addressing》。

代码的执行流程如下:将eax赋0,然后进行or eax,eax,如果不修改代码,则jz处会跳转,结果会显示“eax值为0”。我们的任务就是把jz改为jnz。jz的十六进制编码为74,jnz为75。
编译一下:

因为我们加入了下面两句代码:

所以jz为in为jnz了。结果显示如下图所示。注意,GoASM中byte ptr简写为B。当然,你可以把上面两句指令删除,那出来的就完全是另一个结果了。

51

 

3.  资源文件

本文的最后一节来讲下带资源的程序编译。由于GoASM有自己的编译器GoRC,而visual studio中是rc,因此我们将分别用两种语法编写,看一下两个编译器中的相同与不同。
先按下面的代码建立MainDlg.rc,这个rc文件是两个例子通用的,代码来自RadASM的32位默认模板代码,其实就是一个对话框,没有添加任何控件:

代码:

来看一下GoASM语法的文件,其中用了很多GoASM的宏语法,不熟悉的可以看下帮助文件。我们把它保存为2.2.asm。

编译时有个很奇怪的问题,就是要把资源文件编译成.obj格式才能顺利链接。命令行如下:

生成了2.2.exe后,运行,如下图所示:

6
下面,看一下ml64的编译过程。rc文件不变,把下面的代码保存为2.3.asm。

编译命令行为:

如果你编译正确了,应该和2.2.exe的运行结果一样。
和GoASM的宏比起来,ml64的语法显得更低级,也更基础。不过要注意的是,在2.3.asm中,很多语法我并没有写得很规范,要想知道最规范的代码,便是逆向高级语言或GoASM 生成的exe文件。

OK,第二篇就到这里了。

转载自:http://bbs.pediy.com/showthread.php?t=44078