Upgrade to Pro — share decks privately, control downloads, hide ads and more …

x86アセンブラ入門

Avatar for Yuma Kurogome Yuma Kurogome
July 22, 2014
Programming
7
6.1k

 x86アセンブラ入門

研究室でやった入門講座です

Avatar for Yuma Kurogome

Yuma Kurogome

July 22, 2014
Tweet

More Decks by Yuma Kurogome

See All by Yuma Kurogome
The Art of De-obfuscation
Avatar for Yuma Kurogome ntddk
16
28k
死にゆくアンチウイルスへの祈り
Avatar for Yuma Kurogome ntddk
55
39k
Windows Subsystem for Linux Internals
Avatar for Yuma Kurogome ntddk
10
3.1k
なぜマルウェア解析は自動化できないのか
Avatar for Yuma Kurogome ntddk
6
4.3k
Linear Obfuscation to Drive angr Angry
Avatar for Yuma Kurogome ntddk
4
880
CAPTCHAとボットの共進化
Avatar for Yuma Kurogome ntddk
2
1.2k
マルウェアを機械学習する前に
Avatar for Yuma Kurogome ntddk
3
1.7k
Peeling Onions
Avatar for Yuma Kurogome ntddk
7
3.7k
仮想化技術を用いたマルウェア解析
Avatar for Yuma Kurogome ntddk
8
27k

Other Decks in Programming

See All in Programming
Grafana:建立系統全知視角的捷徑
Avatar for Blueswen blueswen
0
330
今こそ知るべき耐量子計算機暗号(PQC)入門 / PQC: What You Need to Know Now
Avatar for mackey0225 mackey0225
3
370
Basic Architectures
Avatar for Denys Poltorak denyspoltorak
0
670
MUSUBIXとは
Avatar for Hisaho nahisaho
0
130
例外処理とどう使い分ける?Result型を使ったエラー設計 #burikaigi
Avatar for Takuma Kajikawa kajitack
16
6k
Oxlintはいいぞ
Avatar for Yuji Yamaguchi yug1224
5
1.3k
OCaml 5でモダンな並列プログラミングを Enjoyしよう!
Avatar for Haochen Kotoi-Xie haochenx
0
140
LLM Observabilityによる 対話型音声AIアプリケーションの安定運用
Avatar for Hiroyuki Moriya gekko0114
2
430
Fluid Templating in TYPO3 14
Avatar for Simon Praetorius s2b
0
130
Apache Iceberg V3 and migration to V3
Avatar for Tomohiro Tanaka tomtanaka
0
160
プロダクトオーナーから見たSOC2 _SOC2ゆるミートアップ#2
Avatar for Kenta Suzuki kekekenta
0
210
なるべく楽してバックエンドに型をつけたい!(楽とは言ってない)
Avatar for HIBIKI CUBE hibiki_cube
0
140

Featured

See All Featured
Measuring Dark Social's Impact On Conversion and Attribution
Avatar for Stephen Akadiri stephenakadiri
1
120
エンジニアに許された特別な時間の終わり
Avatar for watany watany
106
230k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
250
How to build a perfect <img>
Avatar for Jono Alderson jonoalderson
1
4.9k
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
Avatar for David Carrasco davidcarrasco
0
64
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
1.6k
Collaborative Software Design: How to facilitate domain modelling decisions
Avatar for Kenny Baas-Schwegler baasie
0
140
AI in Enterprises - Java and Open Source to the Rescue
Avatar for ivargrimstad ivargrimstad
0
1.1k
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
Avatar for Aleyda Solis aleyda
1
1.9k
Designing Powerful Visuals for Engaging Learning
Avatar for Mike Taylor tmiket
0
230
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
2.9k

Transcript

  1. x86アセンブラ入門 mcat meeting #4 07/22/2014 ntddk

  2. 前提 • 実行ファイルからソースコードを復元するのは 困難 – セマンティックギャップ – 変数名 – ポインタ

    – コンパイラ最適化 • リバースエンジニアリング

  3. アセンブラ 8B E5 mov esp, ebp • ニーモニック – オペコードとオペランドの組み合わせ

    • オペコード – アセンブラの命令 • オペランド – 演算に用いるレジスタやメモリアドレス 機械語 オペコード 第一オペランド 第二オペランド ニーモニック

  4. レジスタ • CPU内の記憶領域 • 汎用レジスタ – eax, ecx, edx, ebx,

    esp, ebp, esi, edi • セグメントレジスタ – cs, ds, ss, es, fs, gs • ステータス制御レジスタ – eflags, eip • FPUレジスタ, MMXレジスタ, SSEレジスタ

  5. 汎用レジスタ • eax, ecx, edx, ebx, esp, ebp, esi, edi

    • eax, ecx, edx, ebx – 値 – eax • 変数 – ecx • C++製のバイナリに多い • thisポインタ, forのカウンタなどが保存される • 初期化されなければクラスのメンバ関数

  6. 汎用レジスタ • eax, ecx, edx, ebx, esp, ebp, esi, edi

    • esi, edi – メモリアドレス

  7. 汎用レジスタ • esp – スタックポインタ – push命令, pop命令によって変動 • ebp

    – スタックフレームのベースポインタ 値 a リターンアドレス 値 b スタックはLast In, First Out スタックポインタ ベースポインタ

  8. セグメントレジスタ • cs, ds, ss, es, fs, gs • 旧世代の遺物

    • cs – コードセグメント – 実行ポインタが参照 • ds – データセグメント – mov命令などが参照

  9. セグメントレジスタ • ss – スタックセグメント – push, pop, call, retなどスタック操作を伴う命令が

    参照 • es, fs, gs – 仕組み上はおまけのようなものだが… – いずれ詳しくやります – 構造化例外ハンドラ

  10. ステータス制御レジスタ • eflags, eip • eflags – 演算過程の状態を保存 – 加減(add,

    sub)や比較(cmp test)の命令に伴いセット される

  11. ステータス制御レジスタ • eflagsのフラグ – CF • キャリーフラグ • 最上位ビットに対して繰り上げまたは繰り下げが行われ たときにセットされる

    – ZF • ゼロフラグ • 結果がゼロだったときにセット

  12. ステータス制御レジスタ • eflagsのフラグ – SF • サインフラグ • 結果がマイナス値だったときにセット –

    OF • オーバーフローフラグ • 結果を格納するためのレジスタより結果の値が大きいと きにセット

  13. ステータス制御レジスタ • eip – 次に実行する命令のアドレス

  14. 代表的なアセンブラの命令 • mov命令 – レジスタ・メモリ間またはレジスタ・レジスタ間で 値をコピー – mov ecx, 10

    ; ecx = 10 • add命令, sub命令 – 加減算 – add eax, ecx ; eax = eax + ecx

  15. 代表的なアセンブラの命令 • push命令, pop命令 – スタックに値を入れる, スタックから値を取り出す – espの加減算を伴う

  16. 代表的なアセンブラの命令 • sal命令, sar命令 – 左シフト演算, 右シフト演算(算術シフト) – 1bit左シフトの場合, 1010

    0011 → 1100 0110 • shl命令, shr命令 – 左シフト演算, 右シフト演算(論理シフト) – 1bit左シフトの場合, 1010 0011 → 0100 0110 – 2の累乗で乗算 , 2の累乗で除算と覚えると楽 – shr eax, 0x4 ; ecx = ecx >> 0x4 • 余りは無視

  17. 代表的なアセンブラの命令 • 分岐命令 – eflagsレジスタをもとに任意のアドレスに分岐 – jmp命令 • 無条件ジャンプ –

    jc, jnc命令 • CFが立っているかどうか – jz, jnz命令 • ZFが立っているかどうか

  18. 代表的なアセンブラの命令 • 分岐命令 – js, jns命令 • SFが立っているかどうか – jo,

    jno命令 • OFが立っているかどうか

  19. 代表的なアセンブラの命令 • test命令 – 論理積 – test eax, eax –

    eax=0ならZF=1となるので, jz命令などで分岐 • cmp命令 – 比較 – cmp eax, 0 – eax=0ならZF=1となるので, jz命令などで分岐

  20. 代表的なアセンブラの命令 • xor命令 – 排他的論理和 – xor eax, eax –

    同じ値同士なら0になるので, testやcmpの準備に多 用される

  21. d.hatena.ne.jp/a4lg/20120225/1330180431

  22. 予定 • 実際の逆アセを読む – 特にC++の仮想関数テーブルやコンストラクタなど • PEファイルフォーマット • 逆アセンブラとデバッガ •

    アンチデバッギング