[原创]Windows X64汇编入门(1)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]Windows X64汇编入门(1)

发表于: 2007-5-5 23:31 67678

[原创]Windows X64汇编入门(1)

tankaiha

2007-5-5 23:31

67678

;示例代码1.asm
;语法：GoASM
DATA SECTION
text     db 'Hello x64!', 0
caption  db 'My First x64 Application', 0

CODE SECTION
START:
sub rsp,28h
xor r9d,r9d
lea r8, caption
lea rdx, text
xor rcx,rcx
call MessageBoxA
add rsp,28h
ret

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

1.jpg （55.41kb，2345次下载）
2.jpg （63.77kb，2473次下载）
3.jpg （29.36kb，2272次下载）
4.jpg （6.28kb，2247次下载）
5.jpg （37.78kb，2289次下载）

收藏・100

免费・7

支持

最新回复 (41) 1 2 ▶
paradise 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 121 粉丝 0 关注私信	paradise 2 楼沙发，好帖。32位的还才刚看。。。。收藏以后看 2007-5-5 23:41 0
xzchina 雪币： 615 活跃值： (1222) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 3 楼好文 tankaiha 的本本太强悍. 汗一下在问tankaiha一个问题,是不是一些句柄必须放在RCX中? loc_10000B2FA: ; lParam xor r9d, r9d xor r8d, r8d ; wParam mov edx, 0C5h ; Msg mov rcx, rbp ; hWnd mov cs:qword_100012760, rdi call cs:PostMessageW mov rcx, cs:qword_100011148 ; hWnd mov ebx, 5 mov edx, ebx ; nCmdShow call cs:ShowWindow mov rcx, cs:hWnd ; hWnd movsxd r8, r13d ; wParam xor r9d, r9d ; lParam mov edx, 0B9h ; Msg call cs:SendMessageW mov rcx, cs:hWnd ; hWnd call cs:SetFocus mov rcx, rsi ; hCursor call cs:SetCursor 2007-5-6 10:32 0
tankaiha 雪币： 5275 活跃值： (456) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 4 楼 rcx只是第一个参数，在许多API如MessageBox，PostMessage和SendMessage中确实是句柄，不过别的API应该不一定。呵呵，偶也是刚学啊，多讨论。 2007-5-6 11:44 0
chinatme 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 94 粉丝 0 关注私信	chinatme 5 楼一不小心就让我看到了,win64刚接触学习学习~ 2007-5-7 07:18 0
stonenb 雪币： 97 活跃值： (301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	stonenb 6 楼天啦，都出64位了，32位还没过关。汗。。。 2007-5-7 09:05 0
wuchuanren 雪币： 214 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	wuchuanren 2 7 楼太有才了…… 不知道能流畅运行Vista的计算机什么时候才会降到普通学生能接受的价格 2007-5-7 10:57 0
ekin 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 22 粉丝 0 关注私信	ekin 1 8 楼现在学64位有用么？ 2007-5-7 15:34 0
kanxue 雪币： 47147 活跃值： (20460) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 9 楼好像听到64位脚步声了，tankaiha每次都能与大家分享这些新的技术，谢谢 2007-5-7 15:41 0
xzchina 雪币： 615 活跃值： (1222) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 10 楼 64位PE文件的结构,64位执行文件需要PEID的支持,支持64位EXE,DLL的OllyDBG,等等等等. 2007-5-7 17:01 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 11 楼学习学习再学习 2007-5-7 17:30 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 12 楼 od 2.0 是不是　在等　６４位的普及啊？ 2007-5-8 08:34 0
8713007 雪币： 235 活跃值： (50) 能力值： ( LV9，RANK：210 ) 在线值：发帖 20 回帖 47 粉丝 0 关注私信	8713007 5 13 楼学习！学习！再学习！ 2007-5-8 15:07 0
无奈无赖雪币： 117 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 728 粉丝 2 关注私信	无奈无赖 14 楼 sub rsp,28h 这个每个还要去自己计算,感觉麻烦些了. 2007-5-9 15:37 0
tankaiha 雪币： 5275 活跃值： (456) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 15 楼呵呵，可以用GoASM的Invoke宏，不过masm还没支持。如果连续几个API调用的话，在第一个之前sub一个比较大的值就OK了，不用一个个sub再add，也不是非常麻烦。 2007-5-9 20:24 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 16 楼好文章啊，怎么现在才看到， 2007-5-9 22:53 0
工人一号雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	工人一号 17 楼怎一个强字了得! 顺便请教下,初学者应该先从32位开始还是直接从64开始好? 2007-5-10 18:36 0
tankaiha 雪币： 5275 活跃值： (456) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 18 楼偶觉得32位目前还是根本 2007-5-10 19:15 0
xiong779 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	xiong779 19 楼之前有愈到過64bit 下的問題，藉此可以學一下 2007-5-10 22:41 0
hefei2 雪币： 223 能力值： (RANK：130 ) 在线值：发帖 10 回帖 77 粉丝 0 关注私信	hefei2 3 20 楼好文章啊，一直想学64位汇编呢 2007-5-10 23:59 0
harold 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	harold 21 楼好是好,看来我得先搞台机子了 2007-5-11 12:47 0
renetspy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	renetspy 22 楼代码中还有一处值得注意，那就是sub rsp,28h和add rsp,28h。28h这个数值是怎么来的呢？四个参数不是通过寄存器传递的吗? 2007-9-5 15:45 0
tankaiha 雪币： 5275 活跃值： (456) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 23 楼 caller负责构造stack frame 平时win32中，由callee构造并释放了，所以我们一般不太注意 2007-9-5 20:27 0
verybigbug 雪币： 153 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 114 粉丝 0 关注私信	verybigbug 24 楼注意：sample中就4个参数，刚好利用了rcx, rdx, r8, r9，如果有5个甚至更多的话这么办？就是mov [rsp+20h], param5 mov [rsp+28h], param6 这样的啦。 2007-9-6 06:33 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 25 楼羡慕...你的本本...^0^ 2007-9-8 11:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tankaiha

发帖

563

回帖

1170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (41) 1 2 ▶
paradise 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 121 粉丝 0 关注私信	paradise 2 楼沙发，好帖。32位的还才刚看。。。。收藏以后看 2007-5-5 23:41 0
xzchina 雪币： 615 活跃值： (1222) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 3 楼好文 tankaiha 的本本太强悍. 汗一下在问tankaiha一个问题,是不是一些句柄必须放在RCX中? loc_10000B2FA: ; lParam xor r9d, r9d xor r8d, r8d ; wParam mov edx, 0C5h ; Msg mov rcx, rbp ; hWnd mov cs:qword_100012760, rdi call cs:PostMessageW mov rcx, cs:qword_100011148 ; hWnd mov ebx, 5 mov edx, ebx ; nCmdShow call cs:ShowWindow mov rcx, cs:hWnd ; hWnd movsxd r8, r13d ; wParam xor r9d, r9d ; lParam mov edx, 0B9h ; Msg call cs:SendMessageW mov rcx, cs:hWnd ; hWnd call cs:SetFocus mov rcx, rsi ; hCursor call cs:SetCursor 2007-5-6 10:32 0
tankaiha 雪币： 5275 活跃值： (456) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 4 楼 rcx只是第一个参数，在许多API如MessageBox，PostMessage和SendMessage中确实是句柄，不过别的API应该不一定。呵呵，偶也是刚学啊，多讨论。 2007-5-6 11:44 0
chinatme 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 94 粉丝 0 关注私信	chinatme 5 楼一不小心就让我看到了,win64刚接触学习学习~ 2007-5-7 07:18 0
stonenb 雪币： 97 活跃值： (301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	stonenb 6 楼天啦，都出64位了，32位还没过关。汗。。。 2007-5-7 09:05 0
wuchuanren 雪币： 214 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	wuchuanren 2 7 楼太有才了…… 不知道能流畅运行Vista的计算机什么时候才会降到普通学生能接受的价格 2007-5-7 10:57 0
ekin 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 22 粉丝 0 关注私信	ekin 1 8 楼现在学64位有用么？ 2007-5-7 15:34 0
kanxue 雪币： 47147 活跃值： (20460) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 9 楼好像听到64位脚步声了，tankaiha每次都能与大家分享这些新的技术，谢谢 2007-5-7 15:41 0
xzchina 雪币： 615 活跃值： (1222) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 10 楼 64位PE文件的结构,64位执行文件需要PEID的支持,支持64位EXE,DLL的OllyDBG,等等等等. 2007-5-7 17:01 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 11 楼学习学习再学习 2007-5-7 17:30 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 12 楼 od 2.0 是不是　在等　６４位的普及啊？ 2007-5-8 08:34 0
8713007 雪币： 235 活跃值： (50) 能力值： ( LV9，RANK：210 ) 在线值：发帖 20 回帖 47 粉丝 0 关注私信	8713007 5 13 楼学习！学习！再学习！ 2007-5-8 15:07 0
无奈无赖雪币： 117 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 728 粉丝 2 关注私信	无奈无赖 14 楼 sub rsp,28h 这个每个还要去自己计算,感觉麻烦些了. 2007-5-9 15:37 0
tankaiha 雪币： 5275 活跃值： (456) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 15 楼呵呵，可以用GoASM的Invoke宏，不过masm还没支持。如果连续几个API调用的话，在第一个之前sub一个比较大的值就OK了，不用一个个sub再add，也不是非常麻烦。 2007-5-9 20:24 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 16 楼好文章啊，怎么现在才看到， 2007-5-9 22:53 0
工人一号雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	工人一号 17 楼怎一个强字了得! 顺便请教下,初学者应该先从32位开始还是直接从64开始好? 2007-5-10 18:36 0
tankaiha 雪币： 5275 活跃值： (456) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 18 楼偶觉得32位目前还是根本 2007-5-10 19:15 0
xiong779 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	xiong779 19 楼之前有愈到過64bit 下的問題，藉此可以學一下 2007-5-10 22:41 0
hefei2 雪币： 223 能力值： (RANK：130 ) 在线值：发帖 10 回帖 77 粉丝 0 关注私信	hefei2 3 20 楼好文章啊，一直想学64位汇编呢 2007-5-10 23:59 0
harold 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	harold 21 楼好是好,看来我得先搞台机子了 2007-5-11 12:47 0
renetspy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	renetspy 22 楼代码中还有一处值得注意，那就是sub rsp,28h和add rsp,28h。28h这个数值是怎么来的呢？四个参数不是通过寄存器传递的吗? 2007-9-5 15:45 0
tankaiha 雪币： 5275 活跃值： (456) 能力值： (RANK：1170 ) 在线值：发帖 92 回帖 563 粉丝 19 关注私信	tankaiha 29 23 楼 caller负责构造stack frame 平时win32中，由callee构造并释放了，所以我们一般不太注意 2007-9-5 20:27 0
verybigbug 雪币： 153 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 114 粉丝 0 关注私信	verybigbug 24 楼注意：sample中就4个参数，刚好利用了rcx, rdx, r8, r9，如果有5个甚至更多的话这么办？就是mov [rsp+20h], param5 mov [rsp+28h], param6 这样的啦。 2007-9-6 06:33 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 25 楼羡慕...你的本本...^0^ 2007-9-8 11:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复