当前课程知识点:计算机病毒分析(慕课) > 第五章、x86反汇编 > 5.2 x86体系结构 > 5.2 x86体系结构
5.2知识点:x86体系结构
1.冯.诺伊曼结构
大部分现代计算机体系结构(包括x86)在内部实现上遵循冯.诺伊曼结构。这种结构包含三种硬件组件:
1.中央处理单元(CPU),负责执行代码。
2.内存(RAM),负责存储所有的数据和代码。
3.输入输出系统(I/O),为硬盘、键盘、显示器等设备提供接口。
2.内存
一个程序的内存可以分为以下四个主要的节:
数据:这个词指的是内存中的一个特定的节,名为数据节,其中包含了一些值。
代码:代码节包含了在执行程序任务时CPU所取得的指令。这些代码决定了程序是做什么的以及程序中的任务如何协调工作的。
堆:堆是为程序执行期间需要的动态内存准备的,用于创建新的值,以及消除不需要的值。将其称为动态内存,是因为其内容在程序运行时经常被改变。
栈:栈用于函数的局部变量和参数,以及控制程序执行流。
3.指令
指令是汇编的构成块。在x86汇编语言中,一条指令由一个助记符,以及零个或多个操作数组成。助记符表示要执行的指令,如mov表示移动数据。操作数用于说明指令要使用的信息,如寄存器数据。
4.操作码
每条指令使用操作码告诉CPU程序要执行什么样的操作。
反汇编器将操作码翻译为人类易读的指令。例如在表中可以看出指令mov ecx,0x42的操作码是B9 42 00 00 00。其中,0xB9对应mov ecx,而0x42000000对应0x42这个值。
5.字节序
*大端字节序(Big Endianness)
一个多字节组成的数据,最高位被存储在内存的低地址上
127.0.0.1 表示为0x7F 00 00 01
网络中的数据使用大端字节序
*小端字节序(Little Endianness)
最低位被排在内存的低地址上
127.0.0.1表示为0x01 00 00 7F
X86程序中使用小端字节序
6.操作数
操作数说明指令要使用的数据,有以下这三种:
立即数:操作数是一个固定的值,如0x42
寄存器:操作数指向寄存器,如ecx
内存地址:操作数指向感兴趣的值所在的内存地址,一般由方括号内包含值、寄存器或方程式组成,如[eax]。
-1.1 计算机病毒的定义和类型
-1.2 计算机病毒分析的目标
-1.3 计算机病毒分析技术概述
-第一单元习题
-2.1 杀毒软件
--2.1 杀毒软件
-2.2 哈希值:恶意代码指纹
-2.3 特征字符串
-2.4 加壳与混淆
-2.5 PE文件格式
-2.6 链接库与函数
-第二单元习题
-实验报告
-3.1 虚拟机的结构
-3.2 创建虚拟机
-3.3 使用虚拟机
-第三单元习题
-4.1 沙箱分析
--4.1 沙箱分析
-4.2 运行病毒和进程监视
-4.3 Process Explorer和Regshot
--4.3 Process Explorer和Regshot
-4.4 网络模拟
--4.4 网络模拟
-第四单元习题
-实验报告
-5.1 逆向工程
--5.1 逆向工程
-5.2 x86体系结构
-5.3 CPU寄存器
-5.4 汇编指令
--5.4 汇编指令
-5.5 栈操作
--5.5 栈操作
-第五单元习题
-6.1 加载可执行文件
-6.2 IDA Pro窗口
-6.3 IDA Pro 导航
-6.4 交叉引用
--6.4 交叉引用
-6.5 函数分析
--6.5 函数分析
-6.6 使用图形选项
-6.7 增强反汇编
-第六单元练习
-实验报告
-7.1 识别汇编中的C语言代码结构
-7.2 识别if分支结构
-7.3 识别循环
--7.3 识别循环
-7.4 识别函数调用
-7.5 识别switch结构
-7.6 识别数组、结构体、链表
-第七单元练习
-实验报告
-8.1 Windows API
-8.2 Windows 注册表
-8.3 网络API
-8.4 跟踪病毒运行
-8.5 互斥量
--8.5 互斥量
-8.6 异常处理、模式、Native API
-第八单元练习
-实验报告
-9.1 调试器介绍
-9.2使用调试器
-9.3使用断点暂停执行
-9.4 断点类型
--9.4 断点类型
-9.5异常
--9.5 异常
-9.6调试器修改可执行文件
-第九单元练习
-10.1 Ollydbg加载恶意代码
-10.2 Ollydbg的窗口
-10.3 内存映射
-10.4 查看线程、栈、代码
-10.5 断点
--10.5 断点
-10.6加载DLL、跟踪
-10.7异常处理、修补
-10.8分析shellcode、协助功能
-10.9插件、脚本调试
-第十单元练习
-实验报告
-11.1驱动与内核代码
-11.2使用WinDbg
-11.3微软符号表
-11.4内核调试
-11.5Rootkit
-第十一单元作业
-12.1下载器、启动器和后门
-12.2远程控制和僵尸网络
-12.3登录凭证窃密器
-12.4存活机制和windows注册表
-12.5特洛伊木马化二进制文件
-12.6DLL加载顺序劫持
-12.7权限提升与用户态Rootkit
-第十二章练习
-13.1启动器与进程注入
-13.2进程替换
-13.3Hook注入
-13.4Detours与APC注入
-第十三单元练习
-14.1加密算法的目的和简单的加密算法
-14.2简单的加密策略
-14.3常见的加密算法
-14.4自定义加密
-14.5解密
--14.5 解密
-第十四单元练习
-期末考试