收藏
下载资源

信息安全逆向反汇编练习Word版

上传人:re****.1 文档编号:459280566 上传时间:2023-05-01 格式:DOC 页数:9 大小:81KB
返回 下载 相关 举报
信息安全逆向反汇编练习Word版_第1页
第1页 / 共9页
信息安全逆向反汇编练习Word版_第2页
第2页 / 共9页
信息安全逆向反汇编练习Word版_第3页
第3页 / 共9页
信息安全逆向反汇编练习Word版_第4页
第4页 / 共9页
信息安全逆向反汇编练习Word版_第5页
第5页 / 共9页
点击查看更多>>
资源描述

《信息安全逆向反汇编练习Word版》由会员分享,可在线阅读,更多相关《信息安全逆向反汇编练习Word版(9页珍藏版)》请在金锄头文库上搜索。

1、传播优秀Word版文档 ,希望对您有帮助,可双击去除!2015回顾,测试一下一、判断选择1. 从底层代码观察,变量指针强制指针转化时,不会产生实际指令 2. 子过程自身的局部变量可以表示为ebp+Y形式,此处Y为正值 3. 在通过类型强制转换的数据拷贝中,以下哪种情况会发生数据越界A、int指针数据向char变量拷贝 B、double指针数据向int变量拷贝C、char指针数据向int变量拷贝 D、double指针数据向double变量拷贝二 填空1. 考虑到内存对齐,计算并显示回答如下数据结构实际所占内存单元大小,并在图中标示出来数据的实际存储情况。Struct AAAshort a;int

2、 b;int c; 从此处开始填(低端地址) bbb;bbb.a = 0x1111;bbb.b = 0x22222222;bbb.c = 0x33333333;答: 该结构体实际所占内存数是_2.现在正在对一个exe程序进行逆向分析,反汇编该程序得到的信息如下:已知,当EXE载入后,EIP内容为00411A20:问题:请完成程序执行到箭头所指处,填写完成栈的实际内容。 (14分)ediesi第14空CCCC.CCCC0CCH第12空第11空第10空第9空第8空 第7空第6空第1空|第2空|CCCC.CCCC第5空第4空第13空第3空CCCC主函数ebp0013FF68ebp栈内容如下,请完成1

3、4个填空(注意:能写出准确16进制数据的,必须填写16进制数值,不能准确写出的,可以填写当时现场的寄存器)1. _2. _H3. _H4. _H5. _H6. _7. _8. _H9. _H10._H11._H12._H13._H14._附逆向EXE的反汇编代码:再次强调一下当EXE载入后,EIP内容为00411A20:004113A0 push ebp 004113A1 mov ebp,esp 004113A3 sub esp,0CCh 004113A9 push ebx 004113AA push esi 004113AB push edi 004113AC lea edi,ebp+FFF

4、FFF34h 004113B2 mov ecx,33h 004113B7 mov eax,0CCCCCCCCh 004113BC rep stos dword ptr es:edi 004113BE mov eax,dword ptr ebp+8 004113C1 add eax,dword ptr ebp+0Ch 004113C4 add eax,dword ptr ebp+10h 004113C7 mov dword ptr ebp-8,eax 004113CA mov eax,dword ptr ebp-8 004113CD pop edi 004113CE pop esi 004113

5、CF pop ebx 004113D0 mov esp,ebp 004113D2 pop ebp 004113D3 ret+/+00411A20 push ebp 00411A21 mov ebp,esp 00411A23 sub esp,0F0h 00411A29 push ebx 00411A2A push esi 00411A2B push edi 00411A2C lea edi,ebp+FFFFFF10h 00411A32 mov ecx,3Ch 00411A37 mov eax,0CCCCCCCCh 00411A3C rep stos dword ptr es:edi 00411A

6、3E mov dword ptr ebp-8,21h 00411A45 mov dword ptr ebp-14h,2Ch 00411A4C mov dword ptr ebp-20h,37h 00411A53 mov eax,dword ptr ebp-20h 00411A56 push eax 00411A57 mov ecx,dword ptr ebp-14h 00411A5A push ecx 00411A5B mov edx,dword ptr ebp-8 00411A5E push edx 00411A5F call 004111D1 00411A64 add esp,0Ch 00

7、411A67 mov dword ptr ebp-2Ch,eax 00411A6A xor eax,eax 00411A6C pop edi 00411A6D pop esi 00411A6E pop ebx 00411A6F add esp,0F0h 00411A75 cmp ebp,esp 00411A77 call 00411145 00411A7C mov esp,ebp 00411A7E pop ebp 00411A7F ret +/+004111D1 jmp 004113A0三、逆向练习现在得到一个可执行EXE执行程序,反汇编该程序得到的信息展示如下:已知,当EXE载入后,EIP内

8、容为00411490要求: 写出其对应的高级语言 附逆向EXE的反汇编代码:再次强调一下当EXE载入后,EIP内容为0041149000411490 push ebp / 00411491 mov ebp,esp / 形成自己的栈坐标00411493 sub esp,0D8h /00411499 push ebx /-0041149A push esi / 寄存器保护0041149B push edi / 0041149C lea edi,ebp+FFFFFF28h /- 004114A2 mov ecx,36h /004114A7 mov eax,0CCCCCCCCh / 初始化临时变量区0

9、04114AC rep stos dword ptr es:edi /-004114AE mov esi,esp 004114B0 push 415AB0h 004114B5 call dword ptr ds:004182BCh / printf函数004114BB add esp,4 / 堆栈平衡调整004114BE cmp esi,esp 004114C0 call 00411145 /安全机制函数,逆向忽略004114C5 mov esi,esp 004114C7 push 4157ACh 004114CC call dword ptr ds:004182BCh / printf函数004114D2 add esp,4 004114D5 cmp esi,esp /004114D7 call 00411145 /安全机制函数,逆向忽略004114DC mov dword ptr ebp-8,39h 004114E3 mov dword ptr ebp-14h,3Ch 004114EA mov eax,dword ptr ebp-8 004114ED cmp eax,dword ptr ebp-14h 004114F0 jle 0041150B

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号