IDA PRO 实践05 - 标志寄存器

最新推荐文章于 2025-11-14 10:36:10 发布
原创 最新推荐文章于 2025-11-14 10:36:10 发布 · 987 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #前端 #安全

处理器执行一个操作数为 2 个寄存器的指令时,无法判别这是有符号还是无符号数的运算。读者会知道是因为可以从后面那个条件跳转指令来判断。所以处理器同时考虑这 2 种情况,并且触发对应的标志。

使用 IDA 调试 crackme.exe 程序,运行到程序入口暂停。

如果使用 keypatch 修改指令后,发现汇编指令变成  db 形式了,记得先把修改的那段 Undefine,然后再转成 Code。

CF(CARRY FLAG)

测试一

随便可以触发到的地方打个断点,让程序运行到断点处。

使用 Keypatch 插件将第一句指令改为 ADD EAX, 1

在 EAX 寄存器右键单击,选择 MODIFY VALUE,输入 0xffffffff。

按 F8 键单步执行,观察 CF 标志位变化。可以看到计算结果超过了数值上限,因而触发了 CF 标志。

测试二

再将下一条指令改为 SUB EAX, EDX

如果两个无符号数相减结果为负这种错误,同样也会触发 CF。修改寄存器使得 EAX=0x25,EDX=0x40,同样可以看到,CF 还是为 1。

测试三

将下一条指令修改为 SUB EAX, EDX 这条指令,并设置 EAX=0x100,EDX=0x40。

按 F8 键单步执行。结果没有触发 CF 标志。

那么结论是:

在 ARM64 架构中,CF(Carry Flag,进位标志)是一个用于表示算术运算结果的状态标志。CF 的主要用途包括:

  1. 加法运算:如果在加法运算中发生了进位(即结果超出了寄存器的位数),CF 会被设置为 1;如果没有进位,CF 会被清零(0)。

  2. 减法运算:在减法运算中,CF 表示是否发生了借位。如果发生借位,CF 会被设置为 1;否则为 0。

  3. 无符号比较:在进行无符号整数比较时,CF 用于指示一个值是否小于另一个值。例如,使用 CMP 指令进行比较时,如果第一个操作数小于第二个操作数,CF 会被设置为 1。

CF 在许多指令中都会受到影响,包括加法、减法、位操作等,通常用于控制条件分支和处理复杂的算术逻辑。

OF(OVERFLOW FLAG)

OF 标志类似于 CF,但它是针对有符号数的。

测试一

将下一条指令改为 ADD EAX,1 指令,并使 EAX=0x7fffffff。

按 F8 键单步执行。

因为最大正数 0x7fffffff 加上 1 之后变成 0x80000000 是一个负数,产生了错误,所以触发了 OF。

测试二

同样再将 EAX(0x80000000)减去 EDX(0x40)的值。

按 F8 键执行,再次触发 OF,因为最小负数 0x80000000 减去 0x40 之后结果是一个很大正数,所以产生了错误。

OF 标志位的设置规则:

  1. 加法运算

    • 当两个有符号数相加的结果超出了其表示范围时,OF 会被设置为 1。

最低0.47元/天 解锁文章
分析C++软件异常需要掌握的汇编知识汇总
dvlinker的技术专栏
05-14 2万+
本文详细地讲述排查C++软件异常时所要了解和掌握的一些汇编方面的基本知识与要点。
IDA-CPU寄存器
yfh1985sdq的专栏
01-23 343
示例1 MOV SI,0 ;初始化偏移地址为 0MOV AX,[SI] ;将段地址为 DS 偏移地址为 SI 的内存单元中的值移入 AX 中MOV AX,DS:[SI] ;将段地址为 DS 偏移地址为 SI 的内存单元中的值移入 AX 中MOV AX,SS:[SI] ;将段地址为 SS 偏移地址为 SI 的内存单元中的值移入 AX 中 MOV DI,0 ;初始化偏移地址为 0MOV AX,[DI] ;将段地址为 DS 偏移地址为 DI 的内存单元中的值移入 AX 中MOV AX,DS:[DI]...
ida 插件学习(5) 寄存器操作
qq_16812035的博客
09-16 1139
#include <string> #include <pro.h> #include <loader.hpp> #include <dbg.hpp> #include <ieee.h> int idaapi IDAP_init(void) { msg("init %s\n",inf.procname); //获取处理器架构...
IDAPro V7.0中keypatch插件不显示解决办法
杰孑的博客
11-21 5952
IDAPro V7.0中keypatch插件不显示解决办法 问题起因: 安装过程: 点击 先查看官方的使用说明 基本就是下面这样的说过程: 有了Python 环境之后,安装 Keystone, win + R 打开命令行 并输入 pip install Keystone 等待安装完成, 并把插件文件keypatch.py放入 D:\****\IDA_Pro_v7.0_Portable\plugins文件夹下,之后重启 IDA Pro7.0,本来这一切感觉都是很不错的,应该是没有什么问题了,但是重启了ID
IDA 在调试时 获取寄存器值的方法
qq_36535153的博客
08-25 2835
并在断点处编辑断点。
IDA保存修改的寄存器值
Android系统攻城狮
11-30 3724
1.修改寄存器 --->Hex View --->右键选择:Edit --->修改后:Apply Changed 2.保存 --->Edit --->Patch Program --->Apply patches to intput files //选择OK即可 **************************************...
IDA PRO 实践04 - 调试器
a5right的博客
12-06 1600
目前已经介绍了IDA加载器的一些内容,后面也还会接着讨论。本章再介绍调试器的一些内容。IDA 支持多个调试器。首先加载初始没有打过补丁的 CRUEHEAD’s crackme 程序,如果现在路径下有已修改程序的数据库或者说 idb 文件,当 IDA 提示时,选择创建新的数据库并覆盖已有数据库(OVERWRITE),开始重新分析。
IDA Pro插件高级技巧揭秘:自动化逆向工程任务,效率翻倍!
[IDA Pro插件高级技巧揭秘:自动化逆向工程任务,效率翻倍!](https://149520725.v2.pressablecdn.com/wp-content/uploads/2020/06/Screen-Shot-2020-06-23-at-9.58.41-AM-1270x475.png) # 摘要 本文全面介绍了IDA ...
40、IDA 处理器模块:原理、Python 字节码反汇编与开发实践
最新发布
ujm567890的博客
11-14 15
本文深入介绍了IDA处理器模块的原理与开发实践,重点以Python字节码反汇编为例,详细阐述了处理器模块的结构、核心组件及开发关键步骤。内容涵盖处理器模块的应用场景、LPH结构体初始化、指令与寄存器定义、开发环境准备等,并提供了实际开发中的注意事项和拓展应用方向,为逆向工程领域开发者提供有价值的参考。
IDA安装keypatch插件
Armey的博客
06-19 9536
IDA安装keypatch插件
IDA keypatch不显示问题解决
qq_66633020的博客
09-27 1471
IDA已经下好keypatch插件并安装了keystone_engine的前提下,未能在IDA中显示出keypatch插件。
关于ida pro的牛逼插件keypatch
热门推荐
冯建华的专栏
08-21 3万+
关于ida pro的牛逼插件keypatch通常ida在修改二进制文件,自带的edit-&amp;gt;patch program-&amp;gt;assemble 可以修改x86, x64 但是不能修改arm, arm64,移动端逆向该怎么办? 之前arm下可以使用ida-patcher http://thesprawl.org/projects/ida-patcher/ 这个插件,但是必须知道arm指令对应的机器码,使
IDA-keypatch
weixin_51561130的博客
06-04 1027
一般来说keypatch.py已经被预装在ida上,只需要配一下python环境就能用
ida插件keypatch-报错修复
weixin_52118017的博客
01-21 547
error
IDA pro 安装keypatch插件
StepTp的博客
12-12 1万+
IDA pro 7.5 安装keypatch插件前言一、安装过程二、出现问题 前言 本篇记录IDA pro 7.5 安装keypatch插件。 缺少相应库,无法加载keypatch插件:"fail to load the dynamic library" 一、安装过程 安装好python环境后,安装 keystone。 (网址:https://www.keystone-engine.org/download/) pip install keystone-engine # 安装 pip inst
【Tools】IDApatch工具安装——keypatch
think_ycx的专栏
11-25 7977
github repo:https://github.com/keystone-engine/keypatch 安装过程官方文档:http://www.keystone-engine.org/keypatch/ windows windows上安装很简单,先下载keystone-engine(http://www.keystone-engine.org/download/)这个msi文件安装...
[Hgame2023]patchme--keypatch二进制漏洞/smc代码保护
can_no_volcano的博客
05-07 424
所以对这两处进行patch由于gets 函数的读取效果为读取缓冲区内的所有字符,并将末尾的换 ⾏符换成\0,因此我们考虑将其 patch 为 scanf("%23s",format )的形式,注意这⾥是 23 ⽽不是24。当初做的时候听说第一种解法很难,于是跟着佬用第二种解法逆了出来,但是处于好奇,去学了一下第一种keypatch解法。既然是为了解决二进制漏洞,那就需要知道有哪些二进制漏洞,此题有两种二进制漏洞:gets的栈溢出和printf的格式化输出字符。而对于printf只需加上“%23s”就行了。
IDA-Pro-SigMaker
01-24
### IDA Pro SigMaker 使用教程 ..../ida_installer.exe --accept-license --install-directory=/opt/ida-pro/ ``` 请注意上述命令仅为示例用途,实际操作前应当仔细阅读官方网站上的说明文档以确保兼容性和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二手的程序员

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值