汇编软件反编译手册

作者: admin 分类: 学习文档 发布时间: 2011-10-27 07:33

汇编速查手册
 
  一、数据传输指令
  二、算术运算指令
  三、逻辑运算指令
  四、串指令
  五、程序转移指令
  六、伪指令

8088 汇编速查手册

一、数据传输指令
───────────────────────────────────────
  它们在存贮器和寄存器、寄存器和输入输出端口之间传送数据.
  1. 通用数据传送指令.
    MOV 传送字或字节.
    MOVSX  先符号扩展,再传送.
    MOVZX  先零扩展,再传送.
    PUSH  把字压入堆栈.
    POP   把字弹出堆栈.
    PUSHA  把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.
    POPA  把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈.
    PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈.
    POPAD  把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次弹出堆栈.
    BSWAP  交换32位寄存器里字节的顺序
    XCHG  交换字或字节.( 至少有一个操作数为寄存器,段寄存器不可作为操作数)
    CMPXCHG 比较并交换操作数.( 第二个操作数必须为累加器AL/AX/EAX )
    XADD  先交换再累加.( 结果在第一个操作数里 )
    XLAT  字节查表转换.
        ── BX 指向一张 256 字节的表的起点, AL 为表的索引值 (0-255,即
        0-FFH); 返回 AL 为查表结果. ( [BX+AL]->AL )

  2. 输入输出端口传送指令.
    IN   I/O端口输入. ( 语法: IN 累加器, )
    OUT   I/O端口输出. ( 语法: OUT ,累加器 )
    输入输出端口由立即方式指定时, 其范围是 0-255; 由寄存器 DX 指定时, 其范围是 0-65535.
    
  3. 目的地址传送指令.
    LEA  装入有效地址.
    例: LEA DX,string ;把偏移地址存到DX.
    
    LDS  传送目标指针,把指针内容装入DS.
    例: LDS SI,string ;把段地址:偏移地址存到DS:SI.
    
    LES  传送目标指针,把指针内容装入ES.
    例: LES DI,string ;把段地址:偏移地址存到ES:DI.
    
    LFS  传送目标指针,把指针内容装入FS.
    例: LFS DI,string ;把段地址:偏移地址存到FS:DI.
    
    LGS  传送目标指针,把指针内容装入GS.
    例: LGS DI,string ;把段地址:偏移地址存到GS:DI.
    
    LSS  传送目标指针,把指针内容装入SS.
    例: LSS DI,string ;把段地址:偏移地址存到SS:DI.
    
  4. 标志传送指令.
    LAHF  标志寄存器传送,把标志装入AH.
    SAHF  标志寄存器传送,把AH内容装入标志寄存器.
    PUSHF  标志入栈.
    POPF  标志出栈.
    PUSHD  32位标志入栈.
    POPD  32位标志出栈.

二、算术运算指令
───────────────────────────────────────
    ADD   加法.
    ADC   带进位加法.
    INC   加 1.
    AAA   加法的ASCII码调整.
    DAA   加法的十进制调整.
    SUB   减法.
    SBB   带借位减法.
    DEC   减 1.
    NEC   求反(以 0 减之).
    CMP   比较.(两操作数作减法,仅修改标志位,不回送结果).
    AAS   减法的ASCII码调整.
    DAS   减法的十进制调整.
    MUL   无符号乘法.
    IMUL  整数乘法.
    以上两条,结果回送AH和AL(字节运算),或DX和AX(字运算).
    
    AAM   乘法的ASCII码调整.
    DIV   无符号除法.
    IDIV  整数除法.
    以上两条,结果回送:
    商回送AL,余数回送AH, (字节运算); 或商回送AX,余数回送DX, (字运算).
    
    AAD   除法的ASCII码调整.
    CBW   字节转换为字. (把AL中字节的符号扩展到AH中去)
    CWD   字转换为双字. (把AX中的字的符号扩展到DX中去)
    CWDE  字转换为双字. (把AX中的字符号扩展到EAX中去)
    CDQ   双字扩展.   (把EAX中的字的符号扩展到EDX中去)

三、逻辑运算指令
───────────────────────────────────────
    AND  与运算.
    OR   或运算.
    XOR  异或运算.
    NOT  取反.
    TEST  测试.(两操作数作与运算,仅修改标志位,不回送结果).
    SHL  逻辑左移.
    SAL  算术左移.(=SHL)
    SHR  逻辑右移.
    SAR  算术右移.(=SHR)
    ROL  循环左移.
    ROR  循环右移.
    RCL  通过进位的循环左移.
    RCR  通过进位的循环右移.
    以上八种移位指令,其移位次数可达255次.
    移位一次时, 可直接用操作码. 如 SHL AX,1.
    移位>1次时, 则由寄存器CL给出移位次数.
    如   MOV CL,04
        SHL AX,CL

四、串指令
───────────────────────────────────────
    DS:SI  源串段寄存器 :源串变址.
    ES:DI  目标串段寄存器:目标串变址.
    CX   重复次数计数器.
    
    AL/AX  扫描值.
    D标志  0表示重复操作中SI和DI应自动增量; 1表示应自动减量.
    Z标志  用来控制扫描或比较操作的结束.
    
    MOVS  串传送.
    ( MOVSB 传送字符. MOVSW 传送字. MOVSD 传送双字. )
    
    CMPS  串比较.
    ( CMPSB 比较字符. CMPSW 比较字. )
    
    SCAS  串扫描.
    把AL或AX的内容与目标串作比较,比较结果反映在标志位.
    
    LODS  装入串.
    把源串中的元素(字或字节)逐一装入AL或AX中.
    ( LODSB 传送字符.  LODSW 传送字.  LODSD 传送双字. )
    
    STOS  保存串.
    是LODS的逆过程.
    
    REP       当CX/ECX<>0时重复.
    REPE/REPZ    当ZF=1或比较结果相等,且CX/ECX<>0时重复.
    REPNE/REPNZ   当ZF=0或比较结果不相等,且CX/ECX<>0时重复.
    REPC      当CF=1且CX/ECX<>0时重复.
    REPNC      当CF=0且CX/ECX<>0时重复.

五、程序转移指令
───────────────────────────────────────
   1>无条件转移指令 (长转移)
    JMP       无条件转移指令
    CALL      过程调用
    RET/RETF    过程返回.
    
   2>条件转移指令 (短转移,-128到+127的距离内)
    ( 当且仅当(SF XOR OF)=1时,OP1  
    JA/JNBE     不小于或不等于时转移.
    JAE/JNB     大于或等于转移.
    JB/JNAE     小于转移.
    JBE/JNA     小于或等于转移.
    以上四条,测试无符号整数运算的结果(标志C和Z).
    
    JG/JNLE 大于转移.
    JGE/JNL 大于或等于转移.
    JL/JNGE 小于转移.
    JLE/JNG 小于或等于转移.
    以上四条,测试带符号整数运算的结果(标志S,O和Z).
    
    JE/JZ      等于转移.
    JNE/JNZ     不等于时转移.
    JC       有进位时转移.
    JNC       无进位时转移.
    JNO       不溢出时转移.
    JNP/JPO     奇偶性为奇数时转移.
    JNS       符号位为 “0” 时转移.
    JO       溢出转移.
    JP/JPE     奇偶性为偶数时转移.
    JS       符号位为 “1” 时转移.
    
  3>循环控制指令(短转移)
    LOOP      CX不为零时循环.
    LOOPE/LOOPZ   CX不为零且标志Z=1时循环.
    LOOPNE/LOOPNZ  CX不为零且标志Z=0时循环.
    JCXZ      CX为零时转移.
    JECXZ      ECX为零时转移.
    
  4>中断指令
    INT       中断指令
    INTO      溢出中断
    IRET      中断返回
    
  5>处理器控制指令
    HLT       处理器暂停, 直到出现中断或复位信号才继续.
    WAIT      当芯片引线TEST为高电平时使CPU进入等待状态.
    ESC       转换到外处理器.
    LOCK      封锁总线.
    NOP       空操作.
    STC       置进位标志位.
    CLC       清进位标志位.
    CMC       进位标志取反.
    STD       置方向标志位.
    CLD       清方向标志位.
    STI       置中断允许位.
    CLI       清中断允许位.

六、伪指令
───────────────────────────────────────
    DW       定义字(2字节).
    PROC      定义过程.
    ENDP      过程结束.
    SEGMENT     定义段.
    ASSUME     建立段寄存器寻址.
    ENDS      段结束.
    END       程序结束. 

 

名称 类型 说明
abort 函数 引起放弃的意外处理
abs 函数 绝对值函数
addexitproc 函数 将一过程添加到运行时库的结束过程表中
addr 函数 返回指定对象的地址
adjustlinebreaks 函数 将给定字符串的行分隔符调整为cr/lf序列
align 属性 使控件位于窗口某部分
alignment 属性 控件标签的文字位置
allocmem 函数 在堆栈上分配给定大小的块
allowgrayed 属性 允许一个灰度选择
ansicomparestr 函数 比较字符串(区分大小写)
ansicomparetext 函数 比较字符串(不区分大小写)
ansilowercase 函数 将字符转换为小写
ansiuppercase 函数 将字符转换为大写
append 函数 以附加的方式打开已有的文件
arctan 函数 余切函数
assignfile 函数 给文件变量赋一外部文件名
assigned 函数 测试函数或过程变量是否为空
autosize 属性 自动控制标签的大小
backgrounddi2001.jpg 属性 背景色
beginthread 函数 以适当的方式建立用于内存管理的线程
bevelinner 属性 控件方框的内框方式
bevelouter 属性 控件方框的外框方式
bevelwidth 属性 控件方框的外框宽度
blockread 函数 读一个或多个记录到变量中
blockwrite 函数 从变量中写一个或多个记录
borderstyle 属性 边界类型
borderwidth 属性 边界宽度
break 命令 终止for、while、repeat循环语句
brush 属性 画刷
caption 属性 标签文字的内容
changefileext 函数 改变文件的后缀
chdir 函数 改变当前目录
checked 属性 确定复选框选中状态
chr 函数 返回指定序数的字符
closefile 命令 关闭打开的文件
color 属性 标签的颜色
columns 属性 显示的列数
comparestr 函数 比较字符串(区分大小写)
concat 函数 合并字符串
continue 命令 继续for、while、repeat的下一个循环
copy 函数 返回一字符串的子串
cos 函数 余弦函数
ctl3d 属性 是否具有3d效果
cursor 属性 鼠标指针移入后的形状
date 函数 返回当前的日期
datetimetofiledate 函数 将delphi的日期格式转换为dos的日期格式
datetimetostr 函数 将日期时间格式转换为字符串
datetimetostring 函数 将日期时间格式转换为字符串
datetostr 函数 将日期格式转换为字符串
dayofweek 函数 返回星期的数值
dec 函数 递减变量值
decodedate 函数 将日期格式分解为年月日
decodetime 函数 将时间格式分解为时、分、秒、毫秒
delete 函数 从字符串中删除子串
deletefile 命令 删除文件
diskfree 函数 返回剩余磁盘空间的大小
disksize 函数 返回指定磁盘的容量
dispose 函数 释放动态变量所占的空间
disposestr 函数 释放字符串在堆栈中的内存空间
ditherbackgrounddi2001.jpg?使背景色的色彩加重或减少50%
dragcursor 属性 当鼠标按下时光标的形状
dragmode 属性 按动的作用方式
dropdowncount 属性 容许的显示数据项的数目
editmask 属性 编辑模式
enabled 属性 是否使标签呈现打开状态
encodedate 函数 将年月日合成为日期格式
encodetime 函数 将时、分、秒、毫秒合成为时间格式
endmargin 属性 末尾边缘
eof 函数 对有类型或无类型文件测试是否到文件尾
eoln 函数 返回文本文件的行结束状态
erase 命令 删除外部文件
exceptaddr 函数 返回引起当前意外的地址
exclude 函数 从集合中删除一些元素
exceptobject 函数 返回当前意外的索引
exit 命令 立即从当前的语句块中退出
exp 函数 指数函数
expandfilename 函数 返回包含绝对路径的字符串
extendedselect 属性 是否允许存在选择模式,true时,multiselect才有意义
extractfiledir 函数 返回驱动器和路径
extractfileext 函数 返回文件的后缀
extractfilename 函数 返回文件名
extractfilepath 函数 返回指定文件的路径
fileage 函数 返回文件已存在的时间
fileclose 命令 关闭指定的文件
filecreate 命令 用指定的文件名建立新文件
filedatetodatetime 函数 将dos的日期格式转换为delphi的日期格式
fileexists 函数 检查文件是否存在
filegatattr 函数 返回文件的属性
filegetdate 函数 返回文件的dos日期时间标记
fileopen 命令 用指定的存取模式打开指定的文件
filepos 函数 返回文件的当前指针位置
fileread 命令 从指定的文件读取
filesearch 命令 在目录中搜索指定的文件
fileseek 函数 改变文件的指针
filesetattr 函数 设置文件属性
filesetdate 函数 设置文件的dos日期时间标记
filesize 函数 返回当前文件的大小
filewrite 函数 对指定的文件做写操作
fillchar 函数 用指定的值填充连续字节的数
findclose 命令 终止findfirst/findnext序列
findfirst 命令 对指定的文件名及属性搜索目录
findnext 命令 返回与文件名及属性匹配的下一入口
floattodecimal 函数 将浮点数转换为十进制数
floattostrf 函数 将浮点数转换为字符串
floattostr 函数 将浮点数转换为字符串
floattotext 函数 将给定的浮点数转换为十进制数
floattotextfmt 函数 将给定的浮点数转换为十进制数
flush 函数 将缓冲区的内容刷新到输出的文本文件中
fmtloadstr 函数 从程序的资源字符串表中装载字符串
fmtstr 函数 格式化一系列的参数,其结果以参数result返回
font 属性 设置字体
format 函数 格式化一系列的参数并返回pascal字符串
formatbuf 函数 格式化一系列的参数
formatdatetime 函数 用指定的格式来格式化日期和时间
formatfloat 函数 指定浮点数格式
frac 函数 返回参数的小数部分
freemem 函数 按给定大小释放动态变量所占的空间
getdir 返回指定驱动器的当前目录
getheapstatus 返回内存管理器的当前状态
getmem 建立一指定大小的动态变量,并将指针指向该处
getmemorymanager 返回内存管理器的入口点
glyph 函数 按钮上的图象
halt 停止程序的执行并返回到操作系统
hi 返回参数的高地址位
high 返回参数的上限值
hint 属性 提示信息
int 返回参数的整数部分
include 添加元素到集合中
insert 在字符串中插入子串
inttohex 将整型数转换为十六进制数
inttostr 将整型数转换为字符串
ioresult 返回最新的i/o操作完成状态
isvalidident 测试字符串是否为有效的标识符
items 属性 默认显示的节点
kind 属性 摆放样式
largechange 属性 最大改变值
layout 属性 图象布局
length 函数 返回字符串的动态长度
lines 属性 缺省显示内容
ln 函数 自然对数函数
lo 函数 返回参数的低地址位
loadstr 函数 从应用程序的可执行文件中装载字符资源
lowercase 函数 将给定的字符串变为小写
low 函数 返回参数的下限值
max 属性 最大值
maxlength 属性 最大长度
min 属性 最小值
mkdir 命令 建立一子目录
move 函数 从源到目标复制字节
multiselect 属性 允许同时选择几个数据项
name 属性 控件的名字
new 函数 建立新的动态变量并设置一指针变量指向他
newstr 函数 在堆栈上分配新的字符串
now 函数 返回当前的日期和时间
odd 测试参数是否为奇数
onactivate 事件 焦点移到窗体上时触发
onclick 事件 单击窗体空白区域触发
ondblclick 事件 双击窗体空白区域触发
onclosequery 事件 使用者试图关闭窗体触发
onclose 事件 窗体关闭后才触发
oncreate 事件 窗体第一次创建时触发
ondeactivate 事件 用户切换到另一应用程序触发
ondragdrop 事件 鼠标拖放操作结束时触发
ondragover 事件 有其他控件从他上面移过触发
onmousedown 事件 按下鼠标键时触发
onmouseup 事件 释放鼠标键时触发
onmousemove 事件 移动鼠标时触发
onhide 事件 隐藏窗体时触发
onkeydown 事件 按下键盘某键时触发
onkeypress 事件 按下键盘上的单个字符键时触发
onkeyup 事件 释放键盘上的某键时触发
onpaint 事件 窗体上有新部分暴露出来触发
onresize 事件 重新调整窗体大小触发
onshow 事件 在窗体实际显示之前瞬间触发
ord 返回序数类的序数
outlinestyle 属性 类型
outofmemoryerror 引起outofmemory意外
pageindex 属性 页索引
pages 属性 页
paramcount 函数 返回在命令行上传递给程序的参数数量
paramstr 函数 返回指定的命令行参数
pen 属性 画刷设置
pi 函数 返回圆周率pi
picture 属性 显示图象
pictureclosed 属性 设置closed位图
pictureleaf 属性 设置leaf位图
pictureminus 属性 设置minus位图
pictureopen 属性 设置open位图
pictureplus 属性 设置plus位图
pos 函数 在字符串中搜索子串
pred 函数 返回先前的参数
random 函数 返回一随机函数
randomize 函数 用一随机数初始化内置的随机数生成器
read 函数 对有格式的文件,读一文件组件到变量中;
对文本文件,读一个或多个值到一个或多个变量中
readln 函数 执行read过程,然后跳到文件下一行
readonly 属性 只读属性
reallocmem 函数 分配一动态变量
rename 函数 重命名外部文件
renamefile 函数 对文件重命名
reset 函数 打开已有的文件
rewrite 函数 建立并打开一新的文件
rmdir 函数 删除空的子目录
round 函数 将实数值舍入为整型值
runerror 函数 停止程序的执行
scrollbars 属性 滚动条状态
seek 函数 将文件的当前指针移动到指定的组件上
seekeof 函数 返回文件的文件结束状态
seekeoln 函数 返回文件的行结束状态
selectedcolor 属性 选中颜色
setmemorymanager 函数 设置内存管理器的入口点
settextbuf 函数 给文本文件指定i/o缓冲区
shape 属性 显示的形状
showexception 函数 显示意外消息与地址
sin 函数 正弦函数
sizeof 函数 返回参数所占的字节数
smallchange 属性 最小改变值
sorted 属性 是否允许排序
sqr 函数 平方函数
sqrt 函数 平方根函数
startmargin 属性 开始边缘
state 属性 控件当前状态
str 函数 将数值转换为字符串
stralloc 函数 给以null结束的字符串分配最大长度-1的缓冲区
strbufsize 函数 返回存储在由stralloc分配的字符缓冲区的最大字符数
strcat 函数 将一字符串附加到另一字符串尾并返回合并的字符串
strcomp 函数 比较两个字符串
strcopy 函数 将一个字符串复制到另一个字符串中
strdispose 函数 释放堆栈上的字符串
strecopy 函数 将一字符串复制到另一个字符串并返回结果字符串尾部的指针
strend 函数 返回指向字符串尾部的指针
stretch 属性 自动适应控件的大小
strfmt 函数 格式化一系列的参数
stricomp 函数 比较两个字符串(不区分大小写)
stringtowidechar 函数 将ansi字符串转换为unicode字符串
strlcat 函数 将一字符串中的字符附加到另一字符串尾并返回合并的字符串
strlcomp 函数 以最大长度比较两个字符串
strlcopy 函数 将一个字符串中的字符复制到另一个字符串中
strlen 函数 返回字符串中的字符数
strlfmt 函数 格式化一系列的参数,其结果中包含有指向目标缓冲区的指针
strlicomp 函数 以最大长度比较两个字符串(不区分大小写)
strlower 函数 将字符串中的字符转换为小写
strmove 函数 将一个字符串中的字符复制到另一个字符串中
strnew 函数 在堆栈上分配一个字符串
strpas 函数 将以null结束的字符串转换为pascal类的字符串
strpcopy 函数 将pascal类的字符串复制为以null结束的字符串
strplcopy 函数 从pascal类的最大长度字符串复制为以null结束的字符串
strpos 函数 返回一个字符串在另一个字符串中首次出现指针
strrscan 函数 返回字符串中最后出现字符的指针
strscan 函数 返回字符串中出现首字符的指针
strtodate 函数 将字符串转换为日期格式
strtodatetime 函数 将字符串转换为日期/时间格式
strtofloat 函数 将给定的字符串转换为浮点数
strtoint 函数 将字符串转换为整型
strtointdef 函数 将字符串转换为整型或默认值
strtotime 函数 将字符串转换为时间格式
strupper 函数 将字符串中的字符转换为大写
style 属性 类型选择
suce 函数 返回后继的参数
swap 函数 交换参数的高低地址位
tabs 属性 标记每一项的内容
tabindex 属性 标记索引
text 属性 显示的文本
texttofloat 函数 将字符串(以null结束的格式)转换为浮点数
time 函数 返回当前的时间
timetostr 函数 将时间格式转换为字符串
trim 函数 从给定的字符串中删除前导和尾部的空格及控制字符
trimleft 函数 从给定的字符串中删除首部的空格及控制字符
trimright 函数 从给定的字符串中删除尾部的空格及控制字符
trunc 函数 将实型值截取为整型值
truncate 函数 截去当前文件位置后的内容
unselectedcolor 属性 未选中颜色
upcase 将字符转换为大写
uppercase 将给定的字符串变为大写
val 函数 将字符串转换为整型值
vararraycreate 函数 以给定的界限和维数建立变体数组
vararraydimcount 函数 返回给定变体的维数
vararrayhighbound 函数 返回给定变体数组维数的上界
vararraylock 函数 锁定给定的变体数组
vararraylowbound 函数 返回给定变体数组维数的下界
vararrayof 函数 返回指定变体的数组元素
vararrayredim 函数 通过改变上限来调整变体的大小
vararrayunlock 函数 解锁指定的变体数组
varastype 函数 将变体转换为指定的类型
varcase 函数 将变体转换为指定的类型并保存他
varclear 函数 清除指定的变体
varcopy 函数 将指定的变体复制为指定的变体
varformdatetime 函数 返回包含日期时间的变体
varisarray 函数 测试变体是否为数组
varisempty 函数 测试变体是否为unassigned
varisnull 函数 测试变体是否为null
vartodatetime 函数 将给定的变体转换为日期时间
vartype 函数 将变体转换为指定的类型并保存他
visible 属性 控件的可见性
wantreturns 属性 为true时,按回车键产生一个回车符;
为false时,按下ctrl+enter才产生回车符
write 命令 对有格式的文件,写一变量到文件组件中;
对文本文件,写一个或多个值到文件中
writeln 命令 执行write过程,然后输出一行结束标志
widecharlentostring 函数 将ansi字符串转换为unicode字符串
widecharlentostrwar 函数 将unicode字符串转换为ansi字符串变量
widechartostring 函数 将unicode字符串转换为ansi字符串
widechartostrvar 函数 将unicode字符串转换为ansi字符串变量

 

———————汇编等价替换————————————————

cmp-sub

很多很多MOV EBP,ESP——–AND AH,CH
MOV EBX,DWORD PTR DS:[ESI]———XOR EBX,DWORD PTR DS:[ESI]
sub ebp,7———- add ebp,-7
add dword ptr ss:[ebp-130],edx ——– adc dword ptr ss:[ebp-130],edx
jnb short fsg2_0.0040015D————– ja short fsg2_0.0040015D
sub ebx,eax———-sbb esi,ecx
call 复件_(4).004CF607 —————– push 复件_(4).004CF607
SBB ECX,DWORD PTR DS:[ESI+2]———-ADC ECX,DWORD PTR DS:[ESI+2]
XOR [EAX],AL—————MOV [EAX],AL
JMP NEAR [1071c]———————JMP NEAR [1071B]
JNS —————POP ECX
JNS ————– jnc-jnb
JE————–jnz
JE————–JB
CMP DWORD PTR DS:[100170A4],0 ————-sub
MOV [EBP-18],ESP——————-MOV [EBP-18],AH
JNB —————–JGE
mov [ebp-256], eax ————-adc [ebp-226], eax

PUSH EAX PUSH EBX
MOV EAX,[ESP+10] MOV EAX,[ESP+10]
MOV [ESP+10],EBP MOV [ESP+10],EBP
LEA EBP,[ESP+10] LEA EBP,[ESP+10]
SUB ESP,EAX SUB ESP,EAX
PUSH EBX PUSH EDI
PUSH ESI PUSH EAX
PUSH EDI PUSH ESI
MOV EDI,[EBP+10]————-MOV EDI,[EBP+11]
TEST ESI,ESI————– AND ESI,ESI
XOR EAX,EAX————OR EAX,EAX
————————————————–
修改jd该为JG还可以看下JB一般都是2个字节,2进制看下
ascll吗,基本上还可以修改大小的,还有的是看下跳转
jb————-jg
———————————————–
CALL ———看到了CALL跟随进去看NOP就可以把CALL的地址该成NOP
方法2–看下附近有没有MOV修该成NOP看下可以免杀不。可以的话该XOR
方法3–看附近jnz跳转该下跳转的地址/可免杀不/
JNZ 00874E85—PUSH DWORD PTR DS:[88F658]
PUSH下面MOV ECX,88C0AC就可以JNZ该到MOV连接
————————————————————
jnz–je-jmp修改中要看下跳的地址是不是很重要说明[1]
JNZ 00874E85–MOV EAX,88B6D0 可以是该成JE
———————————————————–
005E 01 ADD BYTE PTR DS:[ESI+1],BL 修改方法
006E 01 ADD BYTE PTR DS:[ESI+1],CH 这样的成功机会不大看运气
————————————————————
修改这样的命令要看下 1071C的地址,有没有,可以修改的
本身怎个命令是不可以修改的
JMP DWORD PTR DS:[1071C]—-DS:[1071b]
还可以看下上下有没有空的代码来换下位置
————————————————————
看下面的命令 观察上下的指令来修改|
CALL EAX |CALL EBX
MOV DWORD PTR SS:[EBP-1C],EAX |MOV DWORD PTR SS:[EBP-1C],EBX
—————————————————————
比效指令 CMP:看下是个比效指令 在看下JNZ条件转移指令
就是说CMP比效正确就跳那我们可以把CMP用NOP掉在把JNZ该成JMP
不进行CMP比效
CMP ESI,1
JNZ SHORT VVV.1000D793
—————————————————————
看下MOV数据传送指令 很明白就是将ESI给ESP+14
那看下JE跳下去的指令XOR AL,AL没有用可以NOP掉
MOV [ESP+14],ESI
JE 1000A74B 跳转去下个指令XOR AL,AL
修改成
MOV ESP,ESI
ADD ESP,14
—————————————————————-
LEA有效地址传送指令,遇到这样的指令不要该他可能会不能运行
LEA ECX,[ESP+10]
修改思路可以看下,上面的指令,如下
MOV EAX,DWORD PTR DS:[EBX]
CMP EAX,-1
JE 100017E9 到达的就是LEA ECX,[ESP+10]
上面可以看出是一系列的比对指令,最后LEA地址传
可以把MOV CMP JE 三个比对NOP掉在把LEA写到MOV CMP JE地址上,在用
JMP跳到下个指令运行
—————————————————————-
修改大小写在汇编里的变化
————————————————————
INS BYTE PTR ES:[EDI],DX 小<l>——————DEC ESP大<L>
PREFIX ADDRSIZE: 小<g> —————-INC EDI 大<G>

DAA 组合的十进制加法调整指令 ——–DAS 减法的十进制调整.

=================================================================
XCHG EAX,ESP ———–PUSHFD
数据交换指令 XCHG 标志传送指令 PUSHF
—————————————————————–
ADD [EAX],CH———————ADD [EAX],DH
—————————————————————–
ADD [EAX],BH 0038 —————-ADD [EAX+40],AL 0040 40
—————————————————————-
ADD [EAX+EAX*2+46],AL —————-ADD [EAX+EAX*2+46],CL
—————————————————————-
ADD [EAX+40],DL 0050 40 —————— 0058 40 ADD [EAX+40],DL
———————————————————————
ADD AH,CH 00EC —————–00F4 ADD AH,DH

 

如果觉得我的文章对您有用,请随意赞赏。您的支持将鼓励我继续创作!

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

Protected by WP Anti Spam