Upgrade to Pro — share decks privately, control downloads, hide ads and more …

x86アセンブラ入門

Avatar for Yuma Kurogome Yuma Kurogome
July 22, 2014
Programming
7
6k

 x86アセンブラ入門

研究室でやった入門講座です

Avatar for Yuma Kurogome

Yuma Kurogome

July 22, 2014
Tweet

More Decks by Yuma Kurogome

See All by Yuma Kurogome
The Art of De-obfuscation
Avatar for Yuma Kurogome ntddk
16
27k
死にゆくアンチウイルスへの祈り
Avatar for Yuma Kurogome ntddk
55
39k
Windows Subsystem for Linux Internals
Avatar for Yuma Kurogome ntddk
10
3.1k
なぜマルウェア解析は自動化できないのか
Avatar for Yuma Kurogome ntddk
6
4.3k
Linear Obfuscation to Drive angr Angry
Avatar for Yuma Kurogome ntddk
4
860
CAPTCHAとボットの共進化
Avatar for Yuma Kurogome ntddk
2
1.2k
マルウェアを機械学習する前に
Avatar for Yuma Kurogome ntddk
3
1.6k
Peeling Onions
Avatar for Yuma Kurogome ntddk
7
3.7k
仮想化技術を用いたマルウェア解析
Avatar for Yuma Kurogome ntddk
8
27k

Other Decks in Programming

See All in Programming
testingを眺める
Avatar for matumoto matumoto
1
140
Updates on MLS on Ruby (and maybe more)
Avatar for sylph01 sylph01
1
180
Navigation 2 を 3 に移行する(予定)ためにやったこと
Avatar for yokomii yokomii
0
120
Tool Catalog Agent for Bedrock AgentCore Gateway
Avatar for matsukada licux
6
2.3k
プロパティベーステストによるUIテスト: LLMによるプロパティ定義生成でエッジケースを捉える
Avatar for Tetta Noguchi tetta_pdnt
0
300
Laravel Boost 超入門
Avatar for Arlo fire_arlo
2
210
TDD 実践ミニトーク
Avatar for Daisuke Garaike contour_gara
1
290
奥深くて厄介な「改行」と仲良くなる20分
Avatar for おぐえもん oguemon
1
510
Azure SRE Agentで運用は楽になるのか?
Avatar for KAMEGAWA Kazushi kkamegawa
0
1.9k
Flutter with Dart MCP: All You Need - 박제창 2025 I/O Extended Busan
Avatar for JaiChangPark itsmedreamwalker
0
150
そのAPI、誰のため? Androidライブラリ設計における利用者目線の実践テクニック
Avatar for mkeeda mkeeda
2
260
MCPで実現するAIエージェント駆動のNext.jsアプリデバッグ手法
Avatar for NakamuraTakumi nyatinte
7
1.1k

Featured

See All Featured
BBQ
Avatar for Matthew Crist matthewcrist
89
9.8k
Navigating Team Friction
Avatar for Lara Hogan lara
189
15k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
210k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
512
110k
KATA
Avatar for Megan Lloyd mclloyd
32
14k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
207
24k
Writing Fast Ruby
Avatar for Erik Berlin sferik
628
62k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
15
1.6k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
46
7.6k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
328
39k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
656
61k

Transcript

  1. x86アセンブラ入門 mcat meeting #4 07/22/2014 ntddk

  2. 前提 • 実行ファイルからソースコードを復元するのは 困難 – セマンティックギャップ – 変数名 – ポインタ

    – コンパイラ最適化 • リバースエンジニアリング

  3. アセンブラ 8B E5 mov esp, ebp • ニーモニック – オペコードとオペランドの組み合わせ

    • オペコード – アセンブラの命令 • オペランド – 演算に用いるレジスタやメモリアドレス 機械語 オペコード 第一オペランド 第二オペランド ニーモニック

  4. レジスタ • CPU内の記憶領域 • 汎用レジスタ – eax, ecx, edx, ebx,

    esp, ebp, esi, edi • セグメントレジスタ – cs, ds, ss, es, fs, gs • ステータス制御レジスタ – eflags, eip • FPUレジスタ, MMXレジスタ, SSEレジスタ

  5. 汎用レジスタ • eax, ecx, edx, ebx, esp, ebp, esi, edi

    • eax, ecx, edx, ebx – 値 – eax • 変数 – ecx • C++製のバイナリに多い • thisポインタ, forのカウンタなどが保存される • 初期化されなければクラスのメンバ関数

  6. 汎用レジスタ • eax, ecx, edx, ebx, esp, ebp, esi, edi

    • esi, edi – メモリアドレス

  7. 汎用レジスタ • esp – スタックポインタ – push命令, pop命令によって変動 • ebp

    – スタックフレームのベースポインタ 値 a リターンアドレス 値 b スタックはLast In, First Out スタックポインタ ベースポインタ

  8. セグメントレジスタ • cs, ds, ss, es, fs, gs • 旧世代の遺物

    • cs – コードセグメント – 実行ポインタが参照 • ds – データセグメント – mov命令などが参照

  9. セグメントレジスタ • ss – スタックセグメント – push, pop, call, retなどスタック操作を伴う命令が

    参照 • es, fs, gs – 仕組み上はおまけのようなものだが… – いずれ詳しくやります – 構造化例外ハンドラ

  10. ステータス制御レジスタ • eflags, eip • eflags – 演算過程の状態を保存 – 加減(add,

    sub)や比較(cmp test)の命令に伴いセット される

  11. ステータス制御レジスタ • eflagsのフラグ – CF • キャリーフラグ • 最上位ビットに対して繰り上げまたは繰り下げが行われ たときにセットされる

    – ZF • ゼロフラグ • 結果がゼロだったときにセット

  12. ステータス制御レジスタ • eflagsのフラグ – SF • サインフラグ • 結果がマイナス値だったときにセット –

    OF • オーバーフローフラグ • 結果を格納するためのレジスタより結果の値が大きいと きにセット

  13. ステータス制御レジスタ • eip – 次に実行する命令のアドレス

  14. 代表的なアセンブラの命令 • mov命令 – レジスタ・メモリ間またはレジスタ・レジスタ間で 値をコピー – mov ecx, 10

    ; ecx = 10 • add命令, sub命令 – 加減算 – add eax, ecx ; eax = eax + ecx

  15. 代表的なアセンブラの命令 • push命令, pop命令 – スタックに値を入れる, スタックから値を取り出す – espの加減算を伴う

  16. 代表的なアセンブラの命令 • sal命令, sar命令 – 左シフト演算, 右シフト演算(算術シフト) – 1bit左シフトの場合, 1010

    0011 → 1100 0110 • shl命令, shr命令 – 左シフト演算, 右シフト演算(論理シフト) – 1bit左シフトの場合, 1010 0011 → 0100 0110 – 2の累乗で乗算 , 2の累乗で除算と覚えると楽 – shr eax, 0x4 ; ecx = ecx >> 0x4 • 余りは無視

  17. 代表的なアセンブラの命令 • 分岐命令 – eflagsレジスタをもとに任意のアドレスに分岐 – jmp命令 • 無条件ジャンプ –

    jc, jnc命令 • CFが立っているかどうか – jz, jnz命令 • ZFが立っているかどうか

  18. 代表的なアセンブラの命令 • 分岐命令 – js, jns命令 • SFが立っているかどうか – jo,

    jno命令 • OFが立っているかどうか

  19. 代表的なアセンブラの命令 • test命令 – 論理積 – test eax, eax –

    eax=0ならZF=1となるので, jz命令などで分岐 • cmp命令 – 比較 – cmp eax, 0 – eax=0ならZF=1となるので, jz命令などで分岐

  20. 代表的なアセンブラの命令 • xor命令 – 排他的論理和 – xor eax, eax –

    同じ値同士なら0になるので, testやcmpの準備に多 用される

  21. d.hatena.ne.jp/a4lg/20120225/1330180431

  22. 予定 • 実際の逆アセを読む – 特にC++の仮想関数テーブルやコンストラクタなど • PEファイルフォーマット • 逆アセンブラとデバッガ •

    アンチデバッギング