通过维基百科上的shellcode文章,它给出了一个示例如下:
B8 01000000 MOV EAX,1 // Set the register EAX to 0x000000001
为了使上述指令为空,他们将其重写如下:
33C0 XOR EAX,EAX // Set the register EAX to 0x000000000
40 INC EAX // Increase EAX to 0x00000001
第一条指令中的空字节在哪里?转换后的指令怎么没有空字节?
【问题讨论】:
标签: shellcode
空字节在第一条指令的B8 01 之后。
第二条指令使用xor 操作将eax(任何x xor x = 0)归零,然后将其加一以在没有00(空字节)的情况下达到相同的结果em>。
【讨论】:
第一条指令中的空字节在哪里?
B8 01000000 MOV EAX,1 // Set the register EAX to 0x000000001
^^^^^^
1 2 3
实际上有 3 个空字节
转换后的指令怎么没有空字节? 因为
对于MOV EAX, 1 指令,汇编器必须编写操作码 (B8) 和 2 个参数,其中一个是 32 位整数。由于 1 是一个很小的数字,所以剩余的位用零填充,从而产生一个空字节。
XOR 和 INC 指令在您的代码中不采用整数,也不必插入零。
我没有注意到 MOV r32, imm32 的操作码中的 +r。
寄存器在 x86 中使用 3 位编码,eax 为 000。
B8 是二进制的 0b10111000,最后是 3 个空闲位。
0b10111000 + 0x000 = 0b10111000 = 0xB8
所以B8 编码为MOV EAX, imm32。
剩下的是0x01000000,1 是小端序。
【讨论】:
01000000 对两个参数进行编码,但我不知道如何,x86 指令编码非常复杂。我认为它看起来是因为字节序而颠倒的。
0x01000000 只对第二个参数进行编码。 0xb8 是 move immediate 32-bit value into EAX 的操作码。但你是对的 - 0x01000000 是 32 位值 1 的小端编码。