[求助]以下汇编代码何解？（很短，就几行）-经典问答-看雪-安全社区|安全招聘|kanxue.com

[求助]以下汇编代码何解？（很短，就几行）

2008-6-1 19:53 9283

[求助]以下汇编代码何解？（很短，就几行）

rmb

2008-6-1 19:53

9283

push -1
push eax
mov    eax, dword ptr fs:[0]
push eax
mov    eax, dword ptr [esp+C]
mov    dword ptr fs:[0], esp
mov    dword ptr [esp+C], ebp
lea    ebp, dword ptr [esp+C]
push eax
retn

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・2

点赞・7

打赏

最新回复 (22)
soshort 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 0 关注私信	soshort 2008-6-1 20:02 2 楼 0 很好玩的代码。。。
rmb 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 59 粉丝 0 关注私信	rmb 2008-6-1 20:04 3 楼 0 why? 就这一段代码出现了很多次，不知道有什么作用？
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 413 粉丝 0 关注私信	dreamzgj 2 2008-6-1 20:49 4 楼 0 期待二楼的讲解哈子我这等小菜也学一点东东
李敬利雪币： 236 活跃值： (16) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 75 粉丝 0 关注私信	李敬利 2 2008-6-1 22:31 5 楼 0 是关于SEH的吧。 push eax ；保存EAX，这个应该是ERR 结构的handler mov eax, dword ptr fs:[0] ；当前进程异常指针进EAX push eax ;填充 err的prev结构 mov eax, dword ptr [esp+C]; mov dword ptr fs:[0], esp 不知道对不对，等高手来吧。
xieph 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 51 粉丝 0 关注私信	xieph 2008-6-2 12:46 6 楼 0 哎，都看不大懂，关注中。
jdsucheng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	jdsucheng 2008-6-2 13:44 7 楼 0 就是高级语言中的异常处理的设置,有点像VB中的on error goto ErrHandle.
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2008-6-2 14:27 8 楼 0 mov eax, 401000h call 你的代码就等于这样： push ebp ;Prologue mov ebp, esp push -1 push 401000h ;ExceptionHandler push dword ptr fs:[0] mov dword ptr fs:[0], esp Prologue + Set ExceptionHandler 简单明了
hjjdebug 雪币： 107 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 8 回帖 74 粉丝 0 关注私信	hjjdebug 3 2008-6-2 15:06 9 楼 0 该代码中关于SEH 部分注释： SEH 链基于如下结构 _EXCEPTION_REGISTRATION struc prev dd ? handler dd ? _EXCEPTION_REGISTRATION ends 就是说，前面一个Double word 是旧的Exeption Handle, 后面一个是新的Execption Handle Exeption Handle 的链头存在FS:[0] 位置处。注意，在栈中，先入栈在高地址，故handler 被先入栈，旧handler 后入栈。现在标注一下代码 push -1 push eax ;新handler mov eax, dword ptr fs:[0] push eax ；旧handler mov eax, dword ptr [esp+C] mov dword ptr fs:[0], esp ;重设Exception 链表头，至此exception 链表更改完成 mov dword ptr [esp+C], ebp lea ebp, dword ptr [esp+C] push eax 其它未标注部分，与Exception 无关，与你的编译语言有关，像是对栈帧的操作，它把[ebp+c]内容存入栈顶，而把ebp存入[esp+c]处，不具有通用性。
sjcries 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	sjcries 2008-6-2 15:18 10 楼 0 没有看出什么东西一样关注
kokof 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 22 粉丝 0 关注私信	kokof 2008-6-3 12:02 11 楼 0 天书啊,完全不懂````````
neilhsu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	neilhsu 2008-6-3 13:25 12 楼 0 那个retn什么意思？没有任何pop就返回，那谁负责平衡栈那段代码是不是贴错了或者中间少了某部分？
小黑冰雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 682 粉丝 0 关注私信	小黑冰 2008-6-3 23:11 13 楼 0 就是POP 呢没有怎么平衡啊
xoojo 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 186 粉丝 0 关注私信	xoojo 2008-6-4 09:33 14 楼 0 精采！强烈学习中！
cjhuengame 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 62 粉丝 0 关注私信	cjhuengame 2008-6-4 12:23 15 楼 0 push eax retn 这个eax保存的就是返回指针
coolvcsky 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	coolvcsky 2009-5-3 13:42 16 楼 0 hjjdebug的回答的太好了，努力学习中。
萧泪血雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 63 粉丝 0 关注私信	萧泪血 2009-5-3 19:00 17 楼 0 堆栈不平衡吧，请高手指点一下
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 78 粉丝 0 关注私信	圣新冰心 2009-5-5 09:54 18 楼 0 代码还原 push ebp mov ebp，esp push eax push fs:[0] mov fs:[0],esp push -1 ret；这里就会发生异常，跳到先前的eax中的地址去。
touchone 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	touchone 2009-5-5 11:43 19 楼 0 完全是路过，本人一点都不懂，只是有一颗想学习的心
guicomeon 雪币： 475 活跃值： (310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	guicomeon 2009-5-5 18:20 20 楼 0 额。。貌似比较难。
superlzdcn 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 44 粉丝 0 关注私信	superlzdcn 2009-5-6 09:32 21 楼 0 这是c调用方式，调用者负责平衡堆栈，这段代码似乎应该是在安装异常处理程序
fancily 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 132 粉丝 0 关注私信	fancily 2009-5-6 23:53 22 楼 0 mov eax,dword ptr [esp+C] 就是返回的地址 push eax retn
呆呆兽雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	呆呆兽 2009-5-7 10:39 23 楼 0 hjjdebug的回答的太好了，努力学习中。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

rmb

发帖

回帖

RANK

关注

私信

他的文章

[求助]ollyice win32可执行文件格式错误

[讨论]困惑，困惑，手机充值卡密码真的可以计算？？？？

[求助]CreateServiceA创建的服务怎么样才能看到呢？

[求助]一个含有病毒的EXE，不幸中了毒，弄了几天都弄不好，请牛人帮忙分析一下

通过CreateProcessW创建的进程如何调试

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
soshort 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 0 关注私信	soshort 2008-6-1 20:02 2 楼 0 很好玩的代码。。。
rmb 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 59 粉丝 0 关注私信	rmb 2008-6-1 20:04 3 楼 0 why? 就这一段代码出现了很多次，不知道有什么作用？
dreamzgj 雪币： 1137 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 24 回帖 413 粉丝 0 关注私信	dreamzgj 2 2008-6-1 20:49 4 楼 0 期待二楼的讲解哈子我这等小菜也学一点东东
李敬利雪币： 236 活跃值： (16) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 75 粉丝 0 关注私信	李敬利 2 2008-6-1 22:31 5 楼 0 是关于SEH的吧。 push eax ；保存EAX，这个应该是ERR 结构的handler mov eax, dword ptr fs:[0] ；当前进程异常指针进EAX push eax ;填充 err的prev结构 mov eax, dword ptr [esp+C]; mov dword ptr fs:[0], esp 不知道对不对，等高手来吧。
xieph 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 51 粉丝 0 关注私信	xieph 2008-6-2 12:46 6 楼 0 哎，都看不大懂，关注中。
jdsucheng 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	jdsucheng 2008-6-2 13:44 7 楼 0 就是高级语言中的异常处理的设置,有点像VB中的on error goto ErrHandle.
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2008-6-2 14:27 8 楼 0 mov eax, 401000h call 你的代码就等于这样： push ebp ;Prologue mov ebp, esp push -1 push 401000h ;ExceptionHandler push dword ptr fs:[0] mov dword ptr fs:[0], esp Prologue + Set ExceptionHandler 简单明了
hjjdebug 雪币： 107 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 8 回帖 74 粉丝 0 关注私信	hjjdebug 3 2008-6-2 15:06 9 楼 0 该代码中关于SEH 部分注释： SEH 链基于如下结构 _EXCEPTION_REGISTRATION struc prev dd ? handler dd ? _EXCEPTION_REGISTRATION ends 就是说，前面一个Double word 是旧的Exeption Handle, 后面一个是新的Execption Handle Exeption Handle 的链头存在FS:[0] 位置处。注意，在栈中，先入栈在高地址，故handler 被先入栈，旧handler 后入栈。现在标注一下代码 push -1 push eax ;新handler mov eax, dword ptr fs:[0] push eax ；旧handler mov eax, dword ptr [esp+C] mov dword ptr fs:[0], esp ;重设Exception 链表头，至此exception 链表更改完成 mov dword ptr [esp+C], ebp lea ebp, dword ptr [esp+C] push eax 其它未标注部分，与Exception 无关，与你的编译语言有关，像是对栈帧的操作，它把[ebp+c]内容存入栈顶，而把ebp存入[esp+c]处，不具有通用性。
sjcries 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	sjcries 2008-6-2 15:18 10 楼 0 没有看出什么东西一样关注
kokof 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 22 粉丝 0 关注私信	kokof 2008-6-3 12:02 11 楼 0 天书啊,完全不懂````````
neilhsu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	neilhsu 2008-6-3 13:25 12 楼 0 那个retn什么意思？没有任何pop就返回，那谁负责平衡栈那段代码是不是贴错了或者中间少了某部分？
小黑冰雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 682 粉丝 0 关注私信	小黑冰 2008-6-3 23:11 13 楼 0 就是POP 呢没有怎么平衡啊
xoojo 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 186 粉丝 0 关注私信	xoojo 2008-6-4 09:33 14 楼 0 精采！强烈学习中！
cjhuengame 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 62 粉丝 0 关注私信	cjhuengame 2008-6-4 12:23 15 楼 0 push eax retn 这个eax保存的就是返回指针
coolvcsky 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	coolvcsky 2009-5-3 13:42 16 楼 0 hjjdebug的回答的太好了，努力学习中。
萧泪血雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 63 粉丝 0 关注私信	萧泪血 2009-5-3 19:00 17 楼 0 堆栈不平衡吧，请高手指点一下
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 78 粉丝 0 关注私信	圣新冰心 2009-5-5 09:54 18 楼 0 代码还原 push ebp mov ebp，esp push eax push fs:[0] mov fs:[0],esp push -1 ret；这里就会发生异常，跳到先前的eax中的地址去。
touchone 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	touchone 2009-5-5 11:43 19 楼 0 完全是路过，本人一点都不懂，只是有一颗想学习的心
guicomeon 雪币： 475 活跃值： (310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	guicomeon 2009-5-5 18:20 20 楼 0 额。。貌似比较难。
superlzdcn 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 44 粉丝 0 关注私信	superlzdcn 2009-5-6 09:32 21 楼 0 这是c调用方式，调用者负责平衡堆栈，这段代码似乎应该是在安装异常处理程序
fancily 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 132 粉丝 0 关注私信	fancily 2009-5-6 23:53 22 楼 0 mov eax,dword ptr [esp+C] 就是返回的地址 push eax retn
呆呆兽雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	呆呆兽 2009-5-7 10:39 23 楼 0 hjjdebug的回答的太好了，努力学习中。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复