摘要： 检测位指令TEST检测位指令是把二个操作数进行逻辑“与”操作，并根据运算结果设置相应的标志位，但并不保存该运算结果，所以，不会改变指令中的操作数。在该指令后，通常用JE、JNE、JZ和JNZ等条件转移指令。指令的格式：TEST Reg/Mem, Reg/Mem/Imm受影响的标志位：CF(0)、OF(0)、PF、SF和ZF(AF无定义)call XXXXXXXXtest al,al/eax,eax...je/jne...**************************************************************************************** 阅读全文

摘要： 逻辑运算指令逻辑运算指令是另一组重要的指令，它包括：逻辑与(AND)、逻辑或(OR)、逻辑非(NOT)和异或指令(XOR)，逻辑运算指令也是经常使用的指令。1、逻辑与操作指令AND指令的格式：AND　Reg/Mem, Reg/Mem/Imm受影响的标志位：CF(0)、OF(0)、PF、SF和ZF(AF无定义)指令的功能是把源操作数中的每位二进制与目的操作数中的相应二进制进行逻辑“与操作”，操作结果存入目标操作数中。2、逻辑或操作指令OR指令的格式：OR　Reg/Mem, Reg/Mem/Imm受影响的标志位：CF(0)、OF(0)、PF、SF和ZF(AF无定义)指令的功能是把源操作数中的每位二 阅读全文

摘要： 算术运算指令算术运算指令是反映CPU计算能力的一组指令，也是编程时经常使用的一组指令。它包括：加、减、乘、除及其相关的辅助指令。该组指令的操作数可以是8位、16位和32位(80386+)。当存储单元是该类指令的操作数时，该操作数的寻址方式可以是任意一种存储单元寻址方式。1、加法指令指令的格式：ADD Reg/Mem, Reg/Mem/Imm受影响的标志位：AF、CF、OF、PF、SF和ZF指令的功能是把源操作数的值加到目的操作数中。、带进位加指令ADC(见得较少)指令的格式：ADC Reg/Mem, Reg/Mem/Imm受影响的标志位：AF、CF、OF、PF、SF和ZF指令的功能是把源操.. 阅读全文

摘要： 数据传送指令**************************************************************************************************1、传送指令MOV(move)**************************************************************************************************传送指令是使用最频繁的指令，它相对于高级语言里的赋值语句。指令的格式如下：MOV Reg/Mem, Reg/Mem/Imm其中：Reg—Register(寄存器)，. 阅读全文

摘要： 数据类型**************************************************************************************************十进制 二进制 十六进制 0 0000 01 0001 12 0010 2 3 0011 3 4 0100 45 0101 56 0110 67 0111 78 1000 89 1001 910 1010 A 11 1011 B 12 1100 C 13 1101 D 14 1110 E 15 1111 F 16 1,00... 阅读全文

摘要： 再来熟悉一下peid，是个非常著名的查壳工具， 最上侧的Edit里面是一个exe、dll、ocx等文件的完整路径。后面的...按钮是DialogFileOpen。 打开对话框选择pe文件。 文件入口呵呵 EntryPoint，00 01 7f e0 这四个字节还是 倒着读，在hex文件里的排列顺序是 e0 7f 01 00 。 阅读全文

摘要： 今天先说说 C32asm。是个静态分析的好工具。可以用来研究pe格式，研究资源。修改资源等等。 Ctrl+O打开一个exe文件 ctrl+H 切换为hex模式。 ctrl+W切换为汇编模式。就是直接将 4d 5a 开头的文件 直接翻译成汇编代码了。 ctrl+F搜索内容，可以用unicode 直接输入要查找的字符和汉字。 各个exe，dll文件的前64个字节几乎都是一样的，都是 选中前四行，在最下方状态栏就显示了我们一共选中了64个字节。起始位置和结束位置。 我们将最后四个字节倒着念，就是00 00 01 00.这是一个DOWRD值。32位的，代表PE头的真正... 阅读全文