[原创]用机器码执行的区别来区分32位和64位环境-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]用机器码执行的区别来区分32位和64位环境

2021-7-19 17:46 13981

[原创]用机器码执行的区别来区分32位和64位环境

危楼高百尺

2021-7-19 17:46

13981

区分32位64位的一个小技巧

1	`31` `C0` `48` `0F` `88`

32位下跳转

64位下不跳转

这样在这个跳转指令下面放64位汇编，在跳转指令目的地放32位汇编，就可以分别处理32位与64位。

原理就是48这个机器码在32位下会被识别为dec eax，改变SF标志位导致跳转；而在64下则会被识别为64位操作数前缀(REX前缀)，因此不跳转。

出处是gslab2020决赛ring0的Flag.fg，觉得有点意思就记录一下，和大家分享。

参考

https://www.cs.uaf.edu/2016/fall/cs301/lecture/09_28_machinecode.html

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

最后于 2021-7-19 20:48 被危楼高百尺编辑，原因：

#开发技巧

收藏・21

点赞・3

打赏

最新回复 (18)
LexSafe 雪币： 2251 活跃值： (2148) 能力值： ( LV5，RANK：60 ) 在线值：发帖 0 回帖 129 粉丝 5 关注私信	LexSafe 2021-7-19 17:49 2 楼 1
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2021-7-19 20:07 3 楼 0 这样就只能把机器码写死了
危楼高百尺雪币： 1367 活跃值： (2121) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 25 粉丝 29 关注私信	危楼高百尺 1 2021-7-19 20:16 4 楼 0 yy虫子yy 这样就只能把机器码写死了在shellcode里面用用感觉还可以
Mr.hack 雪币： 2666 活跃值： (3292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 111 粉丝 14 关注私信	Mr.hack 2021-7-19 20:18 5 楼 0 64位才有rex指令前缀
LeadroyaL 雪币： 4752 活跃值： (2923) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 50 粉丝 75 关注私信	LeadroyaL 1 2021-7-20 13:41 6 楼 0 角度刁钻，666
天水姜伯约雪币： 1460 活跃值： (4267) 能力值： ( LV9，RANK：195 ) 在线值：发帖 16 回帖 113 粉丝 127 关注私信	天水姜伯约 4 2021-7-21 11:04 7 楼 0 学到了
fjqisba 雪币： 4024 活跃值： (5843) 能力值： ( LV7，RANK：102 ) 在线值：发帖 16 回帖 232 粉丝 43 关注私信	fjqisba 2021-7-21 11:47 8 楼 0 收藏加精
erfze 雪币： 1331 活跃值： (9456) 能力值： ( LV12，RANK：650 ) 在线值：发帖 37 回帖 60 粉丝 92 关注私信	erfze 12 2021-7-22 15:16 9 楼 0 学习
mudebug 雪币： 8092 活跃值： (5275) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 302 粉丝 31 关注私信	mudebug 2021-7-22 17:25 10 楼 0 sizeof(void*) 判断一下是4就32，是8就是64就好了。为毛那么奇怪的需求？？？？？
危楼高百尺雪币： 1367 活跃值： (2121) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 25 粉丝 29 关注私信	危楼高百尺 1 2021-7-22 17:43 11 楼 0 sizeof(void*) 判断一下是4就32，是8就是64就好了。为毛那么奇怪的需求？？？？？没有，就是偶然看到了觉得有意思，就记录了一下，以后逆向看到了知道这是啥最后于 2021-7-22 17:50 被危楼高百尺编辑，原因：
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 320 粉丝 10 关注私信	mb_foyotena 2021-7-22 17:51 12 楼 0 执行64bit指令, 不发生异常就是64位
fengyunabc 雪币： 3412 活跃值： (3452) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 514 粉丝 25 关注私信	fengyunabc 1 2021-7-26 09:36 13 楼 0 如果没记错，当年hacking team泄露的资料里就有。
大魔法狮子雪币： 23 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 26 粉丝 1 关注私信	大魔法狮子 2021-11-25 22:09 14 楼 0 啊这，我居然判断的 cs寄存器
上网鱼雪币： 3166 活跃值： (2291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 128 粉丝 0 关注私信	上网鱼 2021-11-26 00:09 15 楼 0 很久没看到过这些汇编小技巧了...
htpidk 雪币： 6677 活跃值： (3295) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2021-11-26 08:49 16 楼 0 每天一个小技巧
dearfuture 雪币： 2428 活跃值： (2287) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 58 粉丝 1 关注私信	dearfuture 2021-11-26 10:18 17 楼 0 mudebug sizeof(void*) 判断一下是4就32，是8就是64就好了。为毛那么奇怪的需求？？？？？区别大了去了。sizeof是依赖编译器的静态判断，又不是运行时判断。只要依赖编译器，就仍然要分开编译32位版和64位版。而运行时判断可以同时把32位机器码和64位机器码塞进一个二进制文件
ninebell 雪币： 32182 活跃值： (7105) 能力值： ( LV3，RANK：20 ) 在线值：发帖 136 回帖 1034 粉丝 64 关注私信	ninebell 2021-11-26 10:59 18 楼 0 @危楼高百尺 x64dbg中的脚本，如何去比较机器码是否当前已知是机器码相同？
dearfuture 雪币： 2428 活跃值： (2287) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 58 粉丝 1 关注私信	dearfuture 2021-11-26 11:56 19 楼 0 把48解析为dec eax还是rex前缀是由当前段选择子cs的cs.l决定的，cs.l==1就是64位环境，cs.l==0就是32位环境。这种技巧的本质就是借用48的解析方式反向推断cs.l也就是当前环境
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

危楼高百尺

发帖

回帖

RANK

关注

私信

他的文章

[原创]用机器码执行的区别来区分32位和64位环境

[原创]某鹅安全竞赛20年初赛ring0题解

[原创]通过Hook InterruptObject来躲避pcHunter的检查

[原创]PE映像切换技术(Process Hollowing)不需要填充IAT表和进行重定位的原因

[原创]一种不用创建远程线程的NtCreateSection+NtMapViewOfSection代码注入技术

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
LexSafe 雪币： 2251 活跃值： (2148) 能力值： ( LV5，RANK：60 ) 在线值：发帖 0 回帖 129 粉丝 5 关注私信	LexSafe 2021-7-19 17:49 2 楼 1
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2021-7-19 20:07 3 楼 0 这样就只能把机器码写死了
危楼高百尺雪币： 1367 活跃值： (2121) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 25 粉丝 29 关注私信	危楼高百尺 1 2021-7-19 20:16 4 楼 0 yy虫子yy 这样就只能把机器码写死了在shellcode里面用用感觉还可以
Mr.hack 雪币： 2666 活跃值： (3292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 111 粉丝 14 关注私信	Mr.hack 2021-7-19 20:18 5 楼 0 64位才有rex指令前缀
LeadroyaL 雪币： 4752 活跃值： (2923) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 50 粉丝 75 关注私信	LeadroyaL 1 2021-7-20 13:41 6 楼 0 角度刁钻，666
天水姜伯约雪币： 1460 活跃值： (4267) 能力值： ( LV9，RANK：195 ) 在线值：发帖 16 回帖 113 粉丝 127 关注私信	天水姜伯约 4 2021-7-21 11:04 7 楼 0 学到了
fjqisba 雪币： 4024 活跃值： (5843) 能力值： ( LV7，RANK：102 ) 在线值：发帖 16 回帖 232 粉丝 43 关注私信	fjqisba 2021-7-21 11:47 8 楼 0 收藏加精
erfze 雪币： 1331 活跃值： (9456) 能力值： ( LV12，RANK：650 ) 在线值：发帖 37 回帖 60 粉丝 92 关注私信	erfze 12 2021-7-22 15:16 9 楼 0 学习
mudebug 雪币： 8092 活跃值： (5275) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 302 粉丝 31 关注私信	mudebug 2021-7-22 17:25 10 楼 0 sizeof(void*) 判断一下是4就32，是8就是64就好了。为毛那么奇怪的需求？？？？？
危楼高百尺雪币： 1367 活跃值： (2121) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 25 粉丝 29 关注私信	危楼高百尺 1 2021-7-22 17:43 11 楼 0 sizeof(void*) 判断一下是4就32，是8就是64就好了。为毛那么奇怪的需求？？？？？没有，就是偶然看到了觉得有意思，就记录了一下，以后逆向看到了知道这是啥最后于 2021-7-22 17:50 被危楼高百尺编辑，原因：
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 320 粉丝 10 关注私信	mb_foyotena 2021-7-22 17:51 12 楼 0 执行64bit指令, 不发生异常就是64位
fengyunabc 雪币： 3412 活跃值： (3452) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 514 粉丝 25 关注私信	fengyunabc 1 2021-7-26 09:36 13 楼 0 如果没记错，当年hacking team泄露的资料里就有。
大魔法狮子雪币： 23 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 26 粉丝 1 关注私信	大魔法狮子 2021-11-25 22:09 14 楼 0 啊这，我居然判断的 cs寄存器
上网鱼雪币： 3166 活跃值： (2291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 128 粉丝 0 关注私信	上网鱼 2021-11-26 00:09 15 楼 0 很久没看到过这些汇编小技巧了...
htpidk 雪币： 6677 活跃值： (3295) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2021-11-26 08:49 16 楼 0 每天一个小技巧
dearfuture 雪币： 2428 活跃值： (2287) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 58 粉丝 1 关注私信	dearfuture 2021-11-26 10:18 17 楼 0 mudebug sizeof(void*) 判断一下是4就32，是8就是64就好了。为毛那么奇怪的需求？？？？？区别大了去了。sizeof是依赖编译器的静态判断，又不是运行时判断。只要依赖编译器，就仍然要分开编译32位版和64位版。而运行时判断可以同时把32位机器码和64位机器码塞进一个二进制文件
ninebell 雪币： 32182 活跃值： (7105) 能力值： ( LV3，RANK：20 ) 在线值：发帖 136 回帖 1034 粉丝 64 关注私信	ninebell 2021-11-26 10:59 18 楼 0 @危楼高百尺 x64dbg中的脚本，如何去比较机器码是否当前已知是机器码相同？
dearfuture 雪币： 2428 活跃值： (2287) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 58 粉丝 1 关注私信	dearfuture 2021-11-26 11:56 19 楼 0 把48解析为dec eax还是rex前缀是由当前段选择子cs的cs.l决定的，cs.l==1就是64位环境，cs.l==0就是32位环境。这种技巧的本质就是借用48的解析方式反向推断cs.l也就是当前环境
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复