mov eaxdword ptr [eb dword ptr eax
MOV EAX,DWORD PTR SS:[EBP+8]
是从ss段的ebp+8这里开始,复制4个字节到eax寄存器。
在32位环境下,这一句一般是将函数第一个参数的值放到eax寄存器中。
楼上的写法应该是错误的,lea只负责加减乘除运算,没有取内容的用法。
你说的那句用nasm来写可以写成mov eax,dword ptr [ebp + 8]理由:ebp和esp默认是ss段,所以根本不用显式说明。
eax,ebx,ecx,edx,edi,esi默认是ds段,eip默认是cs段。
mov eax, dword ptr [ebp+Str1] 和 lea eax, [ebp+Str1] 是不是一样的
不是一样的。
mov eax, dword ptr [ebp+Str1] 是取Str1字符串中的4个连续的字符值到eax中lea eax, [ebp+Str1] 是取Str1字符串的地址到eax中.用C表示的话,有char Str1[] = "1234";mov eax, dword ptr [ebp+Str1] ; eax = "1234", 即0x34333231lea eax, [ebp+Str1] ; eax = Str1, 是Str1的地址,类似c的&取地址操作
00405EB0 mov eax,dword ptr [ecx] 是什么意思?
好复杂!不知道!下面是我在网上找到的和C32有关系的!希望帮助你点!这个不是C32,而是OD,这种改法是有一定的局限性的,改时一定要根据上下文理性地去改,要不然运气很重要。
A开头============================================================================ add 改adc ADD 改ADC ADD 1 改 sub -1 add dword ptr ss:[ebp-130],edx ---------adc dword ptr ss:[ebp-130],edx ADD [EAX],CH----------------------------ADD [EAX],DH ADD [EAX],BH 0038 ----------------------ADD [EAX+40],AL 0040 40 ADD [EAX+EAX*2+46],AL ------------------ADD [EAX+EAX*2+46],CL ADD [EAX+40],DL 0050 40 ----------------0058 40 ADD [EAX+40],DL ADD AH,CH 00EC -------------------------00F4 ADD AH,DH add dword ptr ss:[ebp-130],edx -------- adc dword ptr ss:[ebp-130],edx C开头============================================================================ CMP 改SUB call 复件_(4).004CF607 ----------------- push 复件_(4).004CF607 CMP DWORD PTR DS:[100170A4],0 -------------sub DWORD PTR DS:[100170A4],0 CALL ---------看到了CALL跟随进去看NOP就可以把CALL的地址该成NOP 方法2--看下附近有没有MOV修该成NOP看下可以免杀不。
可以的话该XOR 方法3--看附近jnz跳转该下跳转的地址/可免杀不/ CALL EAX |CALL EBX 比效指令 CMP:看下是个比效指令 在看下JNZ条件转移指令 就是说CMP比效正确就跳那我们可以把CMP用NOP掉在把JNZ该成JMP 不进行CMP比效 CMP ESI,1 JNZ SHORT VVV.1000D793 ============================================================================ D开头============================================================================ DAA 组合的十进制加法调整指令 --------DAS 减法的十进制调整.=========================================================================== J开头=========================================================================== JE 改 JNB JNZ 改 JNL jnz 改 JB JE 改 JNA je 改 jb jnz 改 jg js 改 jp je 改 jle jnz 改 jle je 改 jge JE 改 jnz JE 改 JB JNS 改 POP ECX JNS 改 jnc-jnb JNB 改 JGE jnb short fsg2_0.0040015D----------------ja short fsg2_0.0040015D JMP NEAR [1071c]---------------------JMP NEAR [1071B] jnz--je-jmp修改中要看下跳的地址是不是很重要说明[1] JNZ 00874E85--MOV EAX,88B6D0 可以是该成JE 00874E85--MOV EAX,88B6D0=========================================================================== L开头=========================================================================== LEA EBP,[ESP+10] 改 LEA EBP,[ESP+10] ========================================================================== M开头=========================================================================== MOVSX 改 MOVZX MOV EBP,ESP 改 AND AH,CH MOV [EBP-18],ESP 改 MOV [EBP-18],AH MOV EAX,[ESP+10] 改 MOV EAX,[ESP+10] MOV [ESP+10],EBP 改 MOV [ESP+10],EBP mov [ebp-256], eax 改 adc [ebp-226], eax MOV EDI,[EBP+10] 改 MOV EDI,[EBP+11] MOV EBX,DWORD PTR DS:[ESI] 改 XOR EBX,DWORD PTR DS:[ESI] MOV EBP,ESP--------AND AH,CH MOV EBX,DWORD PTR DS:[ESI]---------XOR EBX,DWORD PTR DS:[ESI] ===================================================================================================================================================== P开头=========================================================================== push 改call PUSH EBX PUSH EDI PUSH ESI PUSH EAX PUSH EDI PUSH ESI PUSH EAX PUSH EBX =========================================================================== S开头=========================================================================== sbb 改adc sub 改mov SHL 改 SAL SAR 改 SHR sub ebp,7---------- add ebp,-7 sub ebx,eax----------sbb esi,ecx SBB ECX,DWORD PTR DS:[ESI+2]----------ADC ECX,DWORD PTR DS:[ESI+2] PUSH EAX 改 PUSH EBX SUB ESP,EAX 改 SUB ESP,EAX PUSH EBX 改 PUSH EDI PUSH ESI 改 PUSH EAX PUSH EDI 改 PUSH ESI sub ebx,eax----------sbb esi,ecx========================================================================== T开头=========================================================================== TEST ESI,ESI-------改------- AND ESI,ESI =========================================================================== X开头======================...
汇编问题 mov dword ptr 0 是什么意思
在内存DATA开始的单元中连续存放8个无符号的字节数据,统计其中奇数和偶数的个数。
否则显示"2",统计其中奇数和偶数的个数,相等显示"0",如果奇数的个数大于偶数的个数显示"1"汇编题 ,在内存DATA开始的单元中连续存放8个无符号的字节数据4。
23,0xfb;1&quot.h&quot,dword ptr [ebp-24h]004010A8 add eax,0xba;00401060 mov dword ptr [ebp-24h]; (00422024)004010BD call printf (00401140)004010C2 add esp.h&quot: #include &quot: int ji=0;004010CF push offset string &quot,0ABh0040104B mov dword ptr [ebp-0Ch],edx15: ji++,0BBh0040103D mov dword ptr [ebp-14h],dword ptr [ebp-28h]0040109D add edx,200401094 div eax,0xee;);00401028 mov dword ptr [ebp-20h];6,dword ptr [ebp-2Ch]0040107A add eax,419;8;004010EB xor eax,我给出的是win32下的汇编这是用C写的反汇编后结果4,0xbb,000401067 mov dword ptr [ebp-28h],13h00401052 mov dword ptr [ebp-8]: #include "ou)004010B0 mov ecx: for(int i=0,edx0040108F mov ecx;0040109A mov edx,6Ch00401016 push ebx00401017 push esi00401018 push edi00401019 lea edi: int main(int argc,012:7: if(ji>004010A5 mov eax;0&quot,0EEh00401036 mov dword ptr [ebp-18h]: if(DATA[i]%2==0)00401086 mov ecx: return 0; (00422020)004010D4 call printf (00401140)004010D9 add esp;i++)0040106E mov dword ptr [ebp-2Ch],10040107D mov dword ptr [ebp-2Ch], char* argv[])9,esp00401013 sub esp;1&quot: ou++:8,dword ptr [ebp+ecx*4-20h]0040108D xor edx:
免杀:求c32中特征码可以替换的汇编指令!(高分)
......这个不是C32,而是OD,这种改法是有一定的局限性的,改时一定要根据上下文理性地去改,要不然运气很重要。
A开头============================================================================add 改adcADD 改ADCADD 1 改 sub -1add dword ptr ss:[ebp-130],edx ---------adc dword ptr ss:[ebp-130],edx ADD [EAX],CH----------------------------ADD [EAX],DHADD [EAX],BH 0038 ----------------------ADD [EAX+40],AL 0040 40 ADD [EAX+EAX*2+46],AL ------------------ADD [EAX+EAX*2+46],CL ADD [EAX+40],DL 0050 40 ----------------0058 40 ADD [EAX+40],DLADD AH,CH 00EC -------------------------00F4 ADD AH,DHadd dword ptr ss:[ebp-130],edx -------- adc dword ptr ss:[ebp-130],edx C开头============================================================================CMP 改SUBcall 复件_(4).004CF607 ----------------- push 复件_(4).004CF607CMP DWORD PTR DS:[100170A4],0 -------------sub DWORD PTR DS:[100170A4],0CALL ---------看到了CALL跟随进去看NOP就可以把CALL的地址该成NOP 方法2--看下附近有没有MOV修该成NOP看下可以免杀不。
可以的话该XOR 方法3--看附近jnz跳转该下跳转的地址/可免杀不/ CALL EAX |CALL EBX 比效指令 CMP:看下是个比效指令 在看下JNZ条件转移指令 就是说CMP比效正确就跳那我们可以把CMP用NOP掉在把JNZ该成JMP 不进行CMP比效 CMP ESI,1 JNZ SHORT VVV.1000D793 ============================================================================D开头============================================================================DAA 组合的十进制加法调整指令 --------DAS 减法的十进制调整.===========================================================================J开头===========================================================================JE 改 JNBJNZ 改 JNLjnz 改 JBJE 改 JNAje 改 jbjnz 改 jgjs 改 jpje 改 jlejnz 改 jleje 改 jgeJE 改 jnz JE 改 JBJNS 改 POP ECXJNS 改 jnc-jnb JNB 改 JGEjnb short fsg2_0.0040015D----------------ja short fsg2_0.0040015DJMP NEAR [1071c]---------------------JMP NEAR [1071B] jnz--je-jmp修改中要看下跳的地址是不是很重要说明[1] JNZ 00874E85--MOV EAX,88B6D0 可以是该成JE 00874E85--MOV EAX,88B6D0===========================================================================L开头===========================================================================LEA EBP,[ESP+10] 改 LEA EBP,[ESP+10] ==========================================================================M开头===========================================================================MOVSX 改 MOVZXMOV EBP,ESP 改 AND AH,CH MOV [EBP-18],ESP 改 MOV [EBP-18],AH MOV EAX,[ESP+10] 改 MOV EAX,[ESP+10] MOV [ESP+10],EBP 改 MOV [ESP+10],EBP mov [ebp-256], eax 改 adc [ebp-226], eaxMOV EDI,[EBP+10] 改 MOV EDI,[EBP+11] MOV EBX,DWORD PTR DS:[ESI] 改 XOR EBX,DWORD PTR DS:[ESI] MOV EBP,ESP--------AND AH,CH MOV EBX,DWORD PTR DS:[ESI]---------XOR EBX,DWORD PTR DS:[ESI] =====================================================================================================================================================P开头===========================================================================push 改callPUSH EBX PUSH EDI PUSH ESI PUSH EAX PUSH EDI PUSH ESIPUSH EAX PUSH EBX ===========================================================================S开头===========================================================================sbb 改adcsub 改movSHL 改 SALSAR 改 SHRsub ebp,7---------- add ebp,-7sub ebx,eax----------sbb esi,ecx SBB ECX,DWORD PTR DS:[ESI+2]----------ADC ECX,DWORD PTR DS:[ESI+2] PUSH EAX 改 PUSH EBX SUB ESP,EAX 改 SUB ESP,EAX PUSH EBX 改 PUSH EDI PUSH ESI 改 PUSH EAX PUSH EDI 改 PUSH ESI sub ebx,eax----------sbb esi,ecx==========================================================================T开头===========================================================================TEST ESI,ESI-------改------- AND ESI,ESI ===========================================================================X开头===========================================================================xor 改subXOR [EAX],AL-------改...
-