Win32ASM学习[6]: PTR、OFFSET、ADDR、THIS

最新推荐文章于 2025-01-08 21:36:35 发布
最新推荐文章于 2025-01-08 21:36:35 发布
阅读量780 收藏 1
点赞数
分类专栏: x86asm 文章标签: byte
本文详细解析了数据尺寸指定、内存赋值、偏移与地址的区别及使用场景,通过具体代码实例深入探讨了如何高效进行数据操作与内存赋值,包括对变量的读取、修改和内存地址的正确应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

PTR: 指定要操作的数据尺寸

------------------------------------------------------------------------------------------------------------------------------------------

.386
.model flat, stdcall

include    windows.inc
include    kernel32.inc
include    masm32.inc
include    debug.inc
includelib kernel32.lib
includelib masm32.lib
includelib debug.lib

.data
    val db 11h, 22h, 33h, 44h, 55h, 66h, 77h, 88h

.code
main proc
    xor eax, eax                    ;清空 EAX, 同 mov eax, 0
    mov eax, dword ptr val   ;
    PrintHex eax                   ;44332211
   
    xor eax, eax                      ;
    mov eax, dword ptr val+1 ;
    PrintHex eax                      ;55443322
   
    xor eax, eax             ;
    mov ax, word ptr val     ;
    PrintHex eax             ;00002211
   
    xor eax, eax             ;
    mov al, byte ptr val     ;
    PrintHex eax             ;00000011
    ret
main endp
end main

------------------------------------------------------------------------------------------------------------------------------------------

OFFSET 和 ADDR 的异同:
1、offset 不能获取局部变量的地址;
2、addr 只能用于调用函数(invoke)时, 不能用于赋值操作;
3、addr 面对局部变量时会转换为 lea 等指令, addr 面对全局变量时则直接调用 offset;
4、在 invoke 中应尽量使用 addr, 其他只用 offset.

------------------------------------------------------------------------------------------------------------------------------------------

.386
.modelflat, stdcall

include   windows.inc
include   kernel32.inc
include   masm32.inc
include   debug.inc
includelib kernel32.lib
includelib masm32.lib
includelib debug.lib

.data
    TextAddr equ this byte  ;伪指令 this 可让当前变量和下一个变量同址
    szText db'Asm', 0
.code
main proc
    PrintHex offset szText  ;00403000
    PrintHex offset TextAddr ;00403000
   
    PrintString szText      ;Asm
    mov [TextAddr], 'a'     ;给 TextAddr 赋值
    PrintString szText      ;asm
    ret
main endp
end main

--------------------------------------------------------------------------------------------------------------------

同址异名

入门masm32编写简单汇编程序并做具体分析
codes_first的博客
10-19 1万+
masm32编写一个很简单的汇编程序来入门一下masm32,打算使用斐波拉切数列这个简单的小程序来作为例子讲述。
Win32汇编学习笔记01.环境配置
彭于晏长沙分晏
01-01 1241
32位 扩充了 8 个通用寄存器 和2个 ip 一次 flag 寄存器 , 扩充成了32位,, 低16位仍然保留原来的名字, 高16位没有名字,要访问需要自己移位 , 段寄存器没有扩充且其功能发生了改变。32位汇编调试⼀般使⽤OD或者x64dbg,前者可以到看雪下载,后者可以到官⽹下载,两者建议都下。鼠标点击有时候高亮不准是因此你改动了代码,但是软件保存了上次的调试信息,删除即可。x32dbg 调32位 x64dbg 调 64位。movsx:高位补0,低位补1。解压密码: pediy.com。
Win32 汇编[12]: PTROFFSETADDRTHIS
weixin_34209406的博客
04-07 174
PTR: 指定要操作的数据尺寸 ; Test12_1.asm .386 .model flat, stdcall include windows.inc include kernel32.inc include masm32.inc include debug.inc includelib kernel32.lib includelib mas...
win32汇编中伪指令addroffset指令的区别
ll2323001的专栏
05-03 3885
一、相同点 1、addroffset 操作符都是获得操作数的偏移地址; 2、addroffset 的处理都是先检查处理的是全局还是局部变量,若是全局变量则把其地址放到目标文件中。 二、不同点 1、addr    伪操作符,只能用在 invoke 伪指令语句中;(本来就是为了在invoke指令中,使用局部变量的地址)       在其他例如mov指令中,可以先使用l
Win32汇编的 PTR, OFFSET, ADDR
cay22的专栏
03-12 2372
http://tech.ddvip.com/2010-04/1270705496150170.html PTR: 指定要操作的数据尺寸 OFFSET: 获取全局变量或标号的偏移地址 ADDR: 类似 offset 也是获取变量的地址(局部变量的地址只能用ADDR来获取)   PTR: 指定要操作的数据尺寸 ; Test12_1.asm  .386  .model flat, s
汇编语言中PTR的含义及作用
farmwang的专栏
12-06 1万+
汇编语言中PTR的含义及作用 mov ax,bx ;是把BX寄存器“里”的值赋予AX,由于二者都是word型,所以没有必要加“WORD”    mov ax,word ptr [bx];是把内存地址等于“BX寄存器的值”的地方所存放的数据,赋予ax。由于只是给出一个内存地址,不知道希望赋予ax的,是byte还是word,所以需要用word明确指出! 所以,当两个操作数的宽度不一样时,
Win32汇编学习笔记03.RadAsm和补丁
彭于晏长沙分晏
01-03 1166
可以看出它调用了 默认过程函数,并没有自己处理关闭消息,所以我们只能 自己来 判断是不是WM_CLOSE 消息,然后我们自己来处理 ,如果是 WM_CLOSE ,那么就需要我们去弹窗,不是的话就交给过程函数去处理。因此可以分析出,程序是那我们输入的字符串做一系列运算,再把结果格式化后去跟第二个字符串 作比较,我们把上面格式化后的字符串拿去测试,可以发现通过了,所以猜想是正确的。可以看到,运行到系统的 dll 中,所以这不是一个 重叠类窗口,所以过程函数不是自己的,无法用上面方法,所以要换个f方法。
Win32汇编学习笔记04.重定位与汇编引擎
彭于晏长沙分晏
01-04 1185
注机器码就是 把机器码写到对应进程里面去,写的地方不能覆盖它原本代码,否则会影响它原本的功能 ,可以去找一些空隙,但是这种方法不是很通用.最好的办法是 申请一块内存,把代码写进去,在调用线程去跑这个段代码。把字符串移进来,调试发现地址还是我们自己的地址,字符串地址需要调整,最好让他自己算.我们只要原来代码所在的地址,与新地址所在的差值,就可以推算出新字符串所在的地址。user32 在 同一台电脑上的 不同进程的地址是一样的,因此可以利用这一点,还要注意,我们写的代码位于代码段,必须修改才能写入。
Win32汇编学习笔记07.筛选器异常
彭于晏长沙分晏
01-08 1173
可以看到调用这个函数的地方思路回到打开文件对应函数上点击其中一个转到对应调用处再起上面那个push再来转到转到的是下面这个jmp,然后再看sub又是哪里跳过来的呢?转到下面所示的jg 另外一个mov ecx,dword ptr [ebp+10]是commad消息!!!我们猜测这里应该有拿资源id的操作利用vs:文件->打开->文件选择该exe情况如下点开快捷键查看32772->对应上面我们怀疑是拿资源id那个立即数的8004h,十分巧合?再去回想之前的转到那。
开发知识点-C++之win32与NT内核
aming小老弟
03-07 866
VC++远控编程班www.zygx8.com 61201860605658096586599275746120931930648561639269 123。红队专题-从零开始VC++C/S远程控制软件RAT-MFC-VC驿站VIP之C++远控班bbs.176ku.com免费看。IShellExtInit接口初始化shell扩展。老狼GHOST内核编程全套。
汇编中的PTR含义/用法
热门推荐
万里晴空
04-16 4万+
2011-03-03 17:11:34|  分类: 汇编 |  标签:ptr  字节  寄存器  bx  word  |举报|字号 订阅      ptr -- pointer (既指针)得缩写。      汇编里面 ptr 是规定 的 字 (既保留字),是用来临时指定类型的。   (可以理解为,ptr是临时的类型转换,相当于C语言中的强制类型转换) 如 mov a
asm基础】汇编指令之in/out指令
jiangwei0512的博客
01-30 3万+
asm基础】汇编指令之in/out指令。
汇编语言——转移指令(offset,jmp,jcxz)
weixin_30699831的博客
12-24 1888
操作符offset 操作符offset在汇编语言中是由编译器处理的符号,它的功能是取得标号的偏移地址([bx,bp,si,di])。示例:使该程序在运行中将s处的一条指令复制到s0处。 1 assume cs:codesg 2 codesg segment 3 s: mov ax,bx ;(mov ax,bx 的机器码占两个字节) 4 ...
关于PTR的说明【转】
Se11en`s Spirit of Tech
06-09 1471
基于Python从Excel表格读取源数据并利用Nodejs进行数据处理与Shell脚本实现自动化流程的跨平台工具-Excel数据读取-Python数据处理-Nodejs数据转.zip
最新发布
08-21
基于Python从Excel表格读取源数据并利用Nodejs进行数据处理与Shell脚本实现自动化流程的跨平台工具_Excel数据读取_Python数据处理_Nodejs数据转.zip面试手撕代码高频题
毕业设计-Java-ssm813教务管理系统+vuemov+MySQL等文件.zip
08-21
本项目是基于Java语言开发的ssm813教务管理系统,采用SSM框架(Spring、SpringMVC、MyBatis)结合Vue.js前端技术,并使用MySQL数据库进行数据存储。系统主要功能包括学生信息管理、课程管理、成绩管理、教师管理、考试安排等模块,实现了教务工作的信息化和自动化。通过该系统,用户可以方便地进行学生信息录入、课程安排、成绩查询等操作,提高了教务管理的效率和准确性。项目旨在解决传统教务管理中存在的效率低下、信息不透明等问题,为学校提供一套完整的教务管理解决方案。系统界面简洁直观,操作便捷,适合各类学校和教育机构使用。毕设项目源码常年开发定制更新,希望对需要的同学有帮助。
struct task_struct_offset { int16_t pid_offset; int16_t tgid_offset; int16_t thread_pid_offset; int16_t ptracer_cred_offset; int16_t real_cred_offset; int16_t cred_offset; int16_t comm_offset; int16_t fs_offset; int16_t files_offset; int16_t loginuid_offset; int16_t sessionid_offset; int16_t seccomp_offset; int16_t security_offset; int16_t stack_offset; int16_t tasks_offset; int16_t mm_offset; int16_t active_mm_offset; }; int resolve_current() { uint64_t sp_el0, sp; asm volatile("mrs %0, sp_el0" : "=r"(sp_el0)); asm volatile("mov %0, sp" : "=r"(sp)); sp_el0_is_current = 0; sp_el0_is_thread_info = 0; init_task = (struct task_struct *)kallsyms_lookup_name("init_task"); uint64_t init_thread_union_addr = kallsyms_lookup_name("init_thread_union"); if (is_kimg_range(sp_el0)) { if (sp_el0 == init_thread_union_addr) { sp_el0_is_thread_info = 1; } else if ((uint64_t)init_task == sp_el0 || (sp_el0 & (page_size - 1)) || (task_struct_offset.comm_offset = find_swapper_comm_offset(sp_el0, TASK_STRUCT_MAX_SIZE)) > 0) { sp_el0_is_current = 1; init_task = (struct task_struct *)sp_el0; } else { sp_el0_is_thread_info = 1; } } int thread_shift_cand[] = { 14, 15, 16 }; for (int i = 0; i < sizeof(thread_shift_cand) / sizeof(thread_shift_cand[0]); i++) { int tsz = 1 << thread_shift_cand[i]; uint64_t sp_low = sp & ~(tsz - 1); uint64_t psp = sp_low; for (; psp < sp_low + THREAD_INFO_MAX_SIZE; psp += 8) { if (*(uint64_t *)psp == STACK_END_MAGIC) { if (psp == sp_low) { thread_size = tsz; stack_end_offset = 0; thread_info_in_task = 1; } else { thread_size = tsz; stack_end_offset = psp - sp_low; thread_info_in_task = 0; } break; } } } if (!thread_info_in_task) { uint64_t thread_info_addr = (uint64_t)current_thread_info_sp(); if (init_task) { for (uint64_t ptr = thread_info_addr; ptr < thread_info_addr + stack_end_offset; ptr += sizeof(uint64_t)) { uint64_t pv = *(uint64_t *)ptr; if (pv == (uint64_t)init_task) { task_in_thread_info_offset = ptr - thread_info_addr; break; } } } else { for (uint64_t ptr = thread_info_addr; ptr < thread_info_addr + stack_end_offset; ptr += sizeof(uint64_t)) { uint64_t pv = *(uint64_t *)ptr; task_struct_offset.comm_offset = find_swapper_comm_offset(pv, TASK_STRUCT_MAX_SIZE); if (task_struct_offset.comm_offset > 0) { init_task = (struct task_struct *)pv; task_in_thread_info_offset = ptr - thread_info_addr; } } } } if (task_struct_offset.comm_offset <= 0) { task_struct_offset.comm_offset = find_swapper_comm_offset((uint64_t)init_task, TASK_STRUCT_MAX_SIZE); } uint64_t stack_base = (sp & ~(thread_size - 1)); for (uintptr_t i = (uintptr_t)init_task; i < (uintptr_t)init_task + TASK_STRUCT_MAX_SIZE; i += sizeof(uintptr_t)) { uintptr_t val = *(uintptr_t *)i; if (stack_base == val) { stack_in_task_offset = i - (uintptr_t)init_task; task_struct_offset.stack_offset = stack_in_task_offset; break; } } return 0; }请问tasks_offset应该按照这样的代码方法获取呢?
03-23
<think>嗯,用户问的是关于如何获取`tasks_offset`的代码方法,根据提供的代码来看,用户可能是在处理Linux内核中的任务结构体`task_struct`的偏移量。首先,我需要理解用户提供的代码结构,特别是`resolve_current`函数的作用。 首先,`struct task_struct_offset`包含多个字段的偏移量,比如`pid_offset`、`tgid_offset`等,用户想知道其中的`tasks_offset`应该如何获取。在提供的代码中,`resolve_current`函数似乎在通过不同的方法确定这些偏移量,比如通过查找`init_task`、检查堆栈指针等。 接下来,我需要回忆Linux内核中`task_struct`的结构。`tasks`字段是一个链表节点,用于将所有的任务结构体连接起来,形成双向链表。每个`task_struct`中的`tasks`字段的偏移量可能因内核版本或配置不同而有所变化,因此需要动态获取。 在提供的代码中,`resolve_current`函数通过查找`init_task`(即初始进程的`task_struct`)并分析其内存布局来确定各个字段的偏移量。例如,`comm_offset`是通过查找"swapper"字符串的位置来确定的。类似地,`stack_offset`是通过匹配堆栈基地址来找到的。 那么,`tasks_offset`的获取可能需要类似的方法。可能的步骤包括: 1. **遍历`task_struct`内存区域**:从`init_task`开始,扫描其内存,寻找指向其他`task_struct`的`tasks`节点的指针。因为`tasks`是一个`list_head`结构,包含`next`和`prev`指针,可以检查这些指针是否指向有效的`task_struct`地址。 2. **验证链表结构**:确认找到的`tasks`节点确实属于`init_task`的下一个或上一个进程,例如`init_task`的下一个任务可能是它自己,因为初始进程的链表可能是一个循环。 3. **计算偏移量**:一旦找到`list_head`结构在`task_struct`中的位置,就可以计算出`tasks_offset`的值。 此外,可能需要考虑内核的链表实现方式,`list_head`通常包含两个指针,所以需要确保找到的是正确的结构体成员。同时,要考虑内核的可能的对齐方式和填充,这可能会影响偏移量的计算。 在用户提供的代码中,`resolve_current`已经处理了`comm_offset`和`stack_offset`,类似的方法可能适用于`tasks_offset`。可能需要添加类似`find_tasks_offset`的函数,遍历`init_task`的内存,查找指向其他任务结构体的指针,从而确定`tasks`字段的位置。 需要注意的是,这种方法可能依赖于内核符号的可用性,例如`init_task`的地址是否可以通过`kallsyms_lookup_name`获取。此外,不同内核版本中`task_struct`的布局可能不同,因此动态确定偏移量是必要的。 总结来说,获取`tasks_offset`的方法可能包括: - 使用`init_task`作为起点。 - 遍历其内存区域,查找符合`list_head`结构的字段。 - 验证该字段是否指向有效的任务结构体。 - 计算该字段相对于`task_struct`起始地址的偏移量,并赋值给`tasks_offset`。 可能需要编写类似于`find_swapper_comm_offset`的辅助函数,专门用于定位`tasks`字段的位置。同时,处理不同内核版本和配置的兼容性问题,确保偏移量获取的准确性。</think>根据提供的代码逻辑,获取`tasks_offset`需要结合内核`task_struct`结构特征和动态探测技术。以下是逐步分析及实现方法: --- ### **一、原理分析** `tasks_offset`对应`struct task_struct`中`tasks`成员的偏移量。该成员是`list_head`类型,用于链接所有进程的链表。关键点如下: 1. **链表结构特性** `tasks`字段是双向链表节点,满足以下条件: $$tasks.next->prev == tasks.prev->next == tasks$$ 2. **init_task的特殊性** 内核初始进程`init_task`的`tasks`链表通常指向自身,形成循环: $$init_task.tasks.next = init_task.tasks.prev = &init_task.tasks$$ --- ### **二、实现步骤** #### **步骤 1:定位`init_task`地址** 代码已通过`kallsyms_lookup_name("init_task")`获取: ```c init_task = (struct task_struct *)kallsyms_lookup_name("init_task"); ``` #### **步骤 2:遍历`task_struct`内存区域** 从`init_task`起始地址开始,逐字节扫描可能包含`list_head`结构的位置: ```c for (uintptr_t ptr = (uintptr_t)init_task; ptr < (uintptr_t)init_task + TASK_STRUCT_MAX_SIZE; ptr += sizeof(uintptr_t)) { // 检查当前指针是否指向有效的list_head结构 } ``` #### **步骤 3:验证链表有效性** 检查`next`和`prev`指针是否满足链表特性: ```c struct list_head *candidate = (struct list_head *)ptr; if (candidate->next->prev == candidate && candidate->prev->next == candidate) { // 进一步验证是否属于init_task的tasks链表 if (candidate->next == &init_task->tasks || candidate->prev == &init_task->tasks) { task_struct_offset.tasks_offset = ptr - (uintptr_t)init_task; break; } } ``` #### **步骤 4:处理特殊边界** - **内核版本差异**:某些内核可能通过`container_of`宏隐藏实际链表地址,需调整计算方式。 - **内存对齐**:优先检查按`sizeof(struct list_head)`对齐的地址。 --- ### **三、代码整合建议** 在现有`resolve_current()`函数中补充以下逻辑: ```c // 在确定init_task后添加: if (init_task) { for (uintptr_t ptr = (uintptr_t)init_task; ptr < (uintptr_t)init_task + TASK_STRUCT_MAX_SIZE; ptr += sizeof(uintptr_t)) { struct list_head *candidate = (struct list_head *)ptr; if (candidate->next->prev == candidate && candidate->prev->next == candidate) { // 确认链表指向init_task自身 if (candidate->next == candidate->prev && candidate->next == (struct list_head *)(ptr)) { task_struct_offset.tasks_offset = ptr - (uintptr_t)init_task; break; } } } } ``` --- ### **四、注意事项** 1. **内存安全性** 直接访问内核内存需确保地址有效性,避免触发缺页异常。可通过`probe_kernel_read()`等安全函数替代直接解引用。 2. **性能优化** 实际实现中可结合`comm`、`stack`等已知偏移量缩小搜索范围。 3. **跨版本兼容性** 不同内核版本中`tasks`位置可能变化,建议结合多个特征字段交叉验证。 --- 通过上述方法,可动态获取`tasks_offset`值,适配不同内核配置和版本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值