收藏
下载资源

信息安全逆向反汇编练习

上传人:第*** 文档编号:34048045 上传时间:2018-02-20 格式:DOC 页数:9 大小:99KB
返回 下载 相关 举报
信息安全逆向反汇编练习_第1页
第1页 / 共9页
信息安全逆向反汇编练习_第2页
第2页 / 共9页
信息安全逆向反汇编练习_第3页
第3页 / 共9页
信息安全逆向反汇编练习_第4页
第4页 / 共9页
信息安全逆向反汇编练习_第5页
第5页 / 共9页
点击查看更多>>
资源描述

《信息安全逆向反汇编练习》由会员分享,可在线阅读,更多相关《信息安全逆向反汇编练习(9页珍藏版)》请在金锄头文库上搜索。

1、北方工业大学试卷 第 1 页 共 9 页 2015 回顾,测试一下一、判断选择1. 从底层代码观察,变量指针强制指针转化时,不会产生实际指令 2. 子过程自身的局部变量可以表示为ebp+Y形式,此处 Y 为正值 3. 在通过类型强制转换的数据拷贝中,以下哪种情况会发生数据越界A、int 指针数据向 char 变量拷贝 B、double 指针数据向 int 变量拷贝C、char 指针数据向 int 变量拷贝 D、double 指针数据向 double 变量拷贝二 填空1. 考虑到内存对齐,计算并显示回答如下数据结构实际所占内存单元大小,并在图中标示出来数据的实际存储情况。Struct AAAsh

2、ort a;int b;int c; 从此处开始填(低端地址) bbb;bbb.a = 0x1111;bbb.b = 0x22222222;bbb.c = 0x33333333;答: 该结构体实际所占内存数是_2.现在正在对一个 exe 程序进行逆向分析,反汇编该程序得到的信息如下:已知,当 EXE 载入后,EIP 内容为 00411A20:问题:请完成程序执行到箭头所指处,填写完成栈的实际内容。 (14 分)ediesi第 14 空0CCHCCCC.CCCC第 12 空第 11 空第 10 空第 9 空第 8 空北方工业大学试卷 第 2 页 共 9 页 栈内容如下,请完成 14 个填空(注意

3、:能写出准确 16 进制数据的,必 须填写 16 进制数值,不能准确写出的,可以填写当时现场的寄存器)1. _2. _H3. _H4. _H5. _H6. _7. _8. _H9. _H10._H11._H12._H13._H14._附逆向 EXE 的反汇编代码:再次强调一下 当 EXE 载入后,EIP 内容为 00411A20:004113A0 push ebp 004113A1 mov ebp,esp 004113A3 sub esp,0CCh 004113A9 push ebx 004113AA push esi 004113AB push edi 004113AC lea edi,eb

4、p+FFFFFF34h 004113B2 mov ecx,33h 004113B7 mov eax,0CCCCCCCCh 004113BC rep stos dword ptr es:edi 004113BE mov eax,dword ptr ebp+8 004113C1 add eax,dword ptr ebp+0Ch 第 7 空第 6 空第 1 空CCCC.CCCC第 5 空第 4 空第 13 空第 3 空|第 2 空| CCCC主函数ebp0013FF68ebp北方工业大学试卷 第 3 页 共 9 页 004113C4 add eax,dword ptr ebp+10h 004113

5、C7 mov dword ptr ebp-8,eax 004113CA mov eax,dword ptr ebp-8 004113CD pop edi 004113CE pop esi 004113CF pop ebx 004113D0 mov esp,ebp 004113D2 pop ebp 004113D3 ret+/+00411A20 push ebp 00411A21 mov ebp,esp 00411A23 sub esp,0F0h 00411A29 push ebx 00411A2A push esi 00411A2B push edi 00411A2C lea edi,ebp+

6、FFFFFF10h 00411A32 mov ecx,3Ch 00411A37 mov eax,0CCCCCCCCh 00411A3C rep stos dword ptr es:edi 00411A3E mov dword ptr ebp-8,21h 00411A45 mov dword ptr ebp-14h,2Ch 00411A4C mov dword ptr ebp-20h,37h 00411A53 mov eax,dword ptr ebp-20h 00411A56 push eax 00411A57 mov ecx,dword ptr ebp-14h 00411A5A push e

7、cx 00411A5B mov edx,dword ptr ebp-8 00411A5E push edx 00411A5F call 004111D1 00411A64 add esp,0Ch 00411A67 mov dword ptr ebp-2Ch,eax 00411A6A xor eax,eax 00411A6C pop edi 00411A6D pop esi 00411A6E pop ebx 00411A6F add esp,0F0h 北方工业大学试卷 第 4 页 共 9 页 00411A75 cmp ebp,esp 00411A77 call 00411145 00411A7C

8、 mov esp,ebp 00411A7E pop ebp 00411A7F ret +/+004111D1 jmp 004113A0三、逆向练习现在得到一个可执行 EXE 执行程序,反汇编该程序得到的信息展示如下:已知,当 EXE 载入后,EIP 内容为 00411490要求: 写出其对应的高级语言 附逆向 EXE 的反汇编代码:再次强调一下 当 EXE 载入后,EIP 内容为 0041149000411490 push ebp / 00411491 mov ebp,esp / 形成自己的栈坐标00411493 sub esp,0D8h /00411499 push ebx /-004114

9、9A push esi / 寄存器保护0041149B push edi / 0041149C lea edi,ebp+FFFFFF28h /- 004114A2 mov ecx,36h /004114A7 mov eax,0CCCCCCCCh / 初始化临时变量区004114AC rep stos dword ptr es:edi /-004114AE mov esi,esp 004114B0 push 415AB0h 004114B5 call dword ptr ds:004182BCh / printf 函数004114BB add esp,4 / 堆栈平衡调整004114BE cmp

10、 esi,esp 004114C0 call 00411145 /安全机制函数,逆向忽略004114C5 mov esi,esp 004114C7 push 4157ACh 004114CC call dword ptr ds:004182BCh / printf 函数004114D2 add esp,4 004114D5 cmp esi,esp /004114D7 call 00411145 /安全机制函数,逆向忽略004114DC mov dword ptr ebp-8,39h 004114E3 mov dword ptr ebp-14h,3Ch 004114EA mov eax,dword ptr ebp-8 北方工业大学试卷 第 5 页 共 9 页 004114ED cmp eax,dword ptr ebp-14h 004114F0 jle 0041150B 004114F2 mov esi,esp 004114F4 push 4162E4h 004114F9 call dword ptr ds:004182BCh / printf 函数004114FF add esp,4 00411502 cmp esi,esp 00411504 call 00411145

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 解决方案

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号