【reverse】逆向5 标志寄存器

1、引言

通过一个creak.exe文件的爆破，引出现阶段需要学习的知识

2、标志寄存器

标志寄存器有上图这么多个

记住这几个寄存器的位置和名称

下面是6个状态标志位

1.进位标志CF(Carry Flag)

如果运算结果的最高位产生了一个进位或者借位，那么其值为1，否则为0

做个实验

我们先给eax一个5555FFFF的数据，然后再加1

然后将c变成0

运行这两句汇编

发现eax虽然进位了，但不是最高位进位，因为eax是32位的

我们再试一试al

把所有标记寄存器归为0

运行这两句汇编

al是FF，加1之后溢出，但是实际上最高位也就是第八位，进位了，所以c为1

所以，一定要注意是最高位

2. 奇偶标志PF(Parity Flag)

奇偶标志PF用于反映运算结果中最低有效字节中“1”的个数的奇偶性

注意是最低有效字节，也就是只看最后两位

如果“1”的个数为偶数，则PF的值为1，反之为0（一定转为二进制来看）

我们运行下面的指令

首先将al赋值0

然后让al+0x3

hex中0+3 = 3

转为2进制，3 = 0011，有两个1，所以p为1

再执行+3的指令

hex中3+3 = 6

转为2进制，6 = 0110，有两个1，所以p为1

再执行+2的指令

hex中6 + 2 = 8

转为2进制，8 = 1000，只有1个1，所以p=0

3.辅助进位标志AF(Auxiliary Carry Flag)

发生下列情况的时候，辅助进位标志AF的值被置为1，否则为0

• 在字操作时，发生低字节向高字节进位或者借位时
• 再字节操作时，发生低4位向高4位进位或者借位时

看我绿笔画的圈，这个位置的数进不进位，进位就是1，否则是0

4.零进位标志ZF(Zero Flag)

零标志位ZF用来反映运算结果是否为0

如果运算结果为0，ZF=1，否则为0

mov指令不算运算

看这句指令，让eax和自己异或，两个相同的数字异或=0，所以计算结果为0，所以ZF= 1

5.符号标志SF(Sign Flag)

符号标志SF用来反映运算结果的符号位，它与运算结果的最高位相同

首先确定一点，mov指令不影响标志寄存器

第一句汇编，让al存0x7F (0111 1111)

第二句汇编，让al+2

0111 1111 + 0000 0010 = 1000 0001

符号位（也就是从左向右第一位）运算后是1，所以SF=1

6.溢出标志OF(Overflow Flag)

溢出标志OF用于反映有符号数加减运算所得结果是否溢出

如果运算结果超过当前运算位数所能表示的范围，则称为溢出，OF的值置为1，否则OF的值被清为0

如何辨别CF和OF？

CF是最高位进位，而OF时有符号数的溢出

有符号数的范围：

• 正数：0～7F
• 负数：FF～80

有无符号是程序员代码规定的，不是计算机规定的，计算机内相同的数——FF，如果是有符号，那就是-1，如果无符号，那就是15

举几个例子

8位，无符号范围是0～FF

有符号数的范围：正数：0～7F；负数：FF～80

• 无符号、有符号都不溢出

  mov al,8
  add al,8
  

• 无符号溢出，有符号不溢出（-1+2）

  mov al,0xff
  add al,2
  

• 无符号不溢出（小于FF），有符号溢出（最大的正数还+2，溢出，成为负数）

  mov al,7f
  add al,2
  

• 无符号（大于FF）、有符号（最小的负数还加负数，两负数相加得到正数）都溢出

  mov al,0xfe
  add al,0x80
  

然后计算机最底层的处理OF标志其实是这样的：

1. 判断符号位是否有进位，有进位，标志1，无进位，标志0
2. 判断最高有效数值位向符号位产生进位否，有进位，标志1,无进位，标志0
3. 将第一步和第二部得到的数字xor一下，得到的数字就是OF标志位的数字

我们看下面这个例子（OF的前提是必须是有符号数）

3、指令

1.ADC指令

adc指令就是带进位的加法（这个进位就看CF进位标志，是1就进位，0就不进）

格式：adc R/M，R/M/IMM

R是寄存器，M是内存，IMM是立即数

两边不能同时为内存，且宽度要一样

adc al,cl
adc byte ptr ds:[12ffc4],2
adc byte ptr ds:[12ffc4],al

2.SBB指令

sbb就是带借位的减法（借位也是看CF标志，是1就借位，反之不借）

格式：adc R/M，R/M/IMM

R是寄存器，M是内存，IMM是立即数

两边不能同时为内存，且宽度要一样

sbb al,cl
sbb byte ptr ds:[12ffc4],2
sbb byte ptr ds:[12ffc4],al

3.XCHG指令

xchg指令是交换数据的指令

格式：XCHG R/M,R/M 两边不能同时为内存，宽度要一样

xchg al,cl
xchg dword ptr ds:[12ffc4],eax
xchg byte prt ds:[12ffc4],al

4.MOVS指令

movs指令是移动数据的指令，这个指令必须对edi和esi使用

这个指令有点特殊，我们之前学习的指令都是不能两边同时为内存的

但是这个指令，他必须两边都是内存，且都是edi和esi使用的！

movs byte ptr es:[edi],byte ptr ds:[esi]	简写为：movsb
movs word ptr es:[edi],word ptr ds:[esi]	简写为：movsw
movs dword ptr es:[edi],dword ptr ds:[esi]	简写为：movsd

movsb：移动esi中地址数据到edi中，同时esi、edi都加1

movsw：移动esi中地址数据到edi中，同时esi、edi都加2

movsd：移动esi中地址数据到edi中，同是esi、edi都加4

esi和edi的加和减是由DF标志寄存器决定的，DF=0就是加，DF=1就是减

5.STOS指令

stos指令是将al/ax/eax的值存到[edi]指定的内存单元

stos byte ptr es:[edi]		简写为stosb
stos word ptr es:[edi]		简写为stosw
sots dword ptr es:[edi]		简写为stosd

存哪个寄存器由是数据宽度决定的

byte是al

word是ax

dword是eax

同样的

edi的加和减是由DF标志寄存器决定的，DF=0就是加，DF=1就是减。

加减的值也是和位数相关

byte +- 1

word +- 2

dword +- 4

6.REP指令

按计数寄存器 (ECX) 中指定的次数重复执行字符串指令

mov ecx,10
rep movsd
rep stosd

这里给ecx存10是hex形式，所以循环了16次

rep movsd就是循环16次将esi的值赋给edi，当然，因为刚刚我们提到了DF标志位，所以会根据DF的值来自增或自减。这里是dword，所以是+-4

rep stosd就是将eax中的值存入edi中16次，这里的edi的+-也是通过DF标志位来的。DF=1是减，DF=0是加

4、本节练习

海哥布置的作业，有机会补上！