简单介绍了,JMP指令按市面上的意思来说是跳转到指定地址,但我这里不这么说,JMP, CALL, RET三个指令均为修改EIP值的指令,EAX, ECX, EBX, EDX, ESP, EBP, ESI, EDI,这8个寄存器的值均可以用mov指令来修改里面的值,EIP行不行呢?我们实际测试一下。
版权声明:本文为博主原创文章,转载请附上原文出处链接和本声明。2019-09-06,20:23:27。
作者By-----溺心与沉浮----博客园
一、JMP指令
我们发现,指令违法,说明,EIP的值不允许通过MOV指令来修改, 但是可以通过什么办法来修改呢?就是我们的标题咯,就是这三条指令,到这里,相信你明白我为什么会说JMP, CALL, RET指令是用来修改EIP的值了吧,如果不明白,请接着看我下面的演示。
我们在0x4010000输入如下代码:
1 JMP 0x401052
在0x401052处输入如下代码:
1 JMP 0x401007
我们这两行代码输入进去,OD会自动帮我们转化成图中左边两个框中的代码,具体为什么要这样,我们这里先不做解释
JMP指令的作用就是无条件的修改EIP的值,我为什么不说是“跳转”,我们熟悉的词语呢?因为决定程序往哪跳转,这不是JMP做的,它所做的就是无条件去修改EIP的值,我们可以去理解成“MOV EIP, 0x00401052”, "MOV EIP, 0x401007", JMP将EIP的值修改完成过后,CPU会根据EIP里面的值决定程序往哪跳转,这件事是CPU决定的。我喜欢“庖丁解牛”,因为只有了解到了本质,我才觉得我是在学东西,就是push,pop,很多人也只是知道是压栈,出栈,知道了这个有什么用呢?只是知道怎么去用而已,万一如果出现
1 MOV DWORD PTR DS:[ESP-4],ESP
2 SUB ESP,4
版权声明:本文为博主原创文章,转载请附上原文出处链接和本声明。2019-09-06,20:23:27。
作者By-----溺心与沉浮----博客园
我们还能做到认识push吗?我相信只有“庖丁解牛”,长期这样去认知高级指令,经过一定时间积累,我们看到变形的指令时,我们也能一眼认出它,
我们执行上面OD中写入的两行JMP指令,看看寄存器有哪些变化,为了方便观察,我这里已经将EAX, ECX, EDX, EBX, ESI, EDI的值分别修改成了0x1,0x2,0x3,0x4,0x5,0x6,ESP, EBP不要动!这两个代表这栈顶与栈底。
经过观察,我们发现只有EIP的值发生了改变,其他的寄存器并无发生变化,再执行第二条JMP指令
JMP指令执行完过后,可以发现它除了EIP寄存器外,它不影响任何寄存器的值,也不影响EFLAG的值
二、CALL指令
CALL指令,首先将程序运行的下一地址压入堆栈,并修改EIP的值,我们看如下例子,首先我们将EAX, ECX, EDX, EBX, ESI, EDI的值分别修改成了0x1,0x2,0x3,0x4,0x5,0x6,ESP, EBP不要动!然后输入下面指令
1 CALL 0040101C
执行CALL 0x40101C
CALL指令发生跳转的时候,下一行地址,也就是要回来的地址,并不是在它原有的基础上+4,而是看它旁边有几个字节
如果是第一个红框中所标,那就是2个字节,如果是第二个红框所标,那他就是5个字节,这里涉及到硬编码,大家就先知道是个什么回事就行
根据图中变化所示,我们可以清晰的看到,执行CALL 0x40101C指令时,0x401000下一行地址0x401005被压入栈中,ESP的值减4,原先ESP的值是0x0018FF8C,EIP的值也变成了0x0040101C
三、RET指令
RET指令会将ESP的值POP出来,然后修改掉EIP的值
紧接上图,我们执行0x40101C处的RET指令,仔细观察ESP,EIP的值,并观察ESP所代表的的内存编号的值得变化
版权声明:本文为博主原创文章,转载请附上原文出处链接和本声明。2019-09-06,20:23:27。
作者By-----溺心与沉浮----博客园