- •Системное программирование на макроассемблере masm32
- •«Системное программирование» (часть 1)
- •Вступление
- •1Организация среды исполнения для масм
- •1.1Цель работы
- •1.2 Теоретические сведения
- •If errorlevel 0 команда2
- •If errorlevel 0 goto метка
- •1.3Выполнение работы
- •1.4Состав отчета по работе
- •1.5Контрольные вопросы
- •2.2.2Состав пакета масм
- •2.2.3Центр масм – редактор Quick Editor
- •2.3Выполнение работы
- •2.4Состав отчета по работе
- •2.5Контрольные вопросы
- •3Высокоуровневый интерфейс языка масм
- •3.1Цель работы
- •3.2 Теоретические сведения
- •3.2.1Процедуры и макросы в ассемблере
- •3.2.2Синтаксис высокого уровня масм
- •3.2.3Макрос invoke
- •3.3Выполнение работы
- •4.2.2Потоки вывода и ввода
- •4.2.3Вывод и ввод в консольных приложениях
- •4.3Выполнение работы
- •4.4Состав отчета по работе
- •4.5Контрольные вопросы
- •5Ввод и вывод в ассемблерных приложениях с графическим интерфейсом
- •5.1Цель работы
- •5.2Теоретические сведения
- •5.3Выполнение работы
- •6.3.1Фрейм кода (области 1-5)
- •6.3.2Фрейм дампа памяти (области 9,10 и 11)
- •6.3.3Фрейм регистров процессора (области 6, 7 и 8)
- •6.3.4Фрейм стека (области 12, 13 и 14)
- •6.4Выполнение работы
- •6.5Состав отчета по работе
- •6.6Контрольные вопросы
- •Приложение а Префиксы «венгерской» нотации типов данных WinApi
- •Рекомендованная литература
6.3.2Фрейм дампа памяти (области 9,10 и 11)
В данном фрейме также возможны установки точек остановки на чтение-запись-выполнение (через ПКМ), перемещение по адресам и т.п. В этом фрейме возможно различное представление данных. Через контекстное меню (ПКМ по фрейму дампа) можно задавать любой требуемый для выполнения текущей задачи вид дампа памяти. Дамп может быть представлен в виде HEX кодировки, в виде ASCII и UNICODE строк, в виде Short, Long, Float чисел или же может быть показан PE-заголовок (для этого достаточно перейти на адрес базы EXE-файла и выбрать ПКМ – Special – PE headers).
Удобной является так же и опция редактирования дампа (ПКМ – Binary – Edit). Для этого достаточно просто выделить мышкой необходимый фрагмент данных и задать нужные значения байтов.
6.3.3Фрейм регистров процессора (области 6, 7 и 8)
В данном фрейме представлены все регистры процессора. В стандартном виде тут находятся регистры общего назначения (РОН), регистр флагов, регистры математического сопроцессора (Floating Point Unit, FPU). Через ПКМ на фрейме регистров можно вместо показа регистров FPU переключаться на показ регистров MMX, 3DNow!-регистров или отладочных регистров DR0 – DR7.
Значения РОН (кроме регистра EIP) могут быть изменены на любом этапе отладки. Для этого нужно выполнить 2КМ на нужном регистре – появится окно модификации регистра. После закрытия этого окна регистр остается выделенным и ПКМ по фрейму вызывает контекстное меню, команды которого относятся к выделенному регистру. Там есть команды Increment (увеличить значение на 1), Decrement (уменьшить значение на 1), Zero (обнулить), Set to 1 (установить в 1). Опции Follow in Dump и Follow in Stack перемещают нас соответственно в фрейме дампа либо в фрейме стека на адрес, содержащийся в конкретном регистре.
В этом фрейме представлены и отдельные флаги (сигнальные биты) с именами C, P, A, Z, S, T, D, O. Когда говорят о бите, то присвоение ему значения 1 называют установкой (set), а присвоение значения 0 – сбросом (reset). 2КМ по значению любого флага меняет его состояние на противоположное. Это очень полезная возможность, если нужно, к примеру, изменить направление ветвления в отлаживаемой программе на команде JE. Поменять значение флага Z значительно проще, нежели менять в коде команду JE на JNE.
Отладчик OllyDbg помечает красным цветом значения регистров и флагов, которые в ходе выполнения последней машинной команды были изменены.
6.3.4Фрейм стека (области 12, 13 и 14)
Стек служит временным хранилищем данных, используемых во время работы программы. Практически все опции и настройки этого фрейма теснейшим образом связаны с процедурами, поэтому понимание их смысла, удобства и тщательно продуманной функциональности возможно только в случае, когда вы прочитали или прослушали на лекции раздел «процедуры в ассемблере».
Все рассматриваемые опции фрейма стека вызываются, как обычно, через ПКМ по фрейму.
Так, к примеру, опция ПКМ – Address – Absolute / Relative to Selections / Relative to EBP / Relative to ESP определяет адресацию в фрейме стека (абсолютные адреса / смещения относительно выбранного элемента стека / смещения относительно сохраненного значения регистра EBP / смещения относительно текущего значения указателя стека ESP).
Lock Stack – позволяет зафиксировать выбранный адрес в стеке (сделать его неперемещаемым за границы фрейма, т.е. автоскролл при изменении вершины стека не работает). Unlock Stack – обратная операция.
Операции Push DWORD / Pop DWORD позволяют поместить в стек и соответственно извлечь из него двойное слово. При вызове первой инструкции появляется окно, где нам предлагают ввести помещаемое значение.
Операции Go to ESP / Go to EBP позволяют переместиться нам на вершину стека (на которую указывает значение регистра ESP) или на дно стекового кадра параметров процедуры (указывает EBP).
Конечно же во всех фреймах доступна возможность копирования данных в буфер обмена, и, следовательно, последующего редактирования контента фреймов в каком-нибудь редакторе. Действия просты: выделяем мышью необходимый нам блок данных (кода) и далее выбираем Copy – To clipboard.
Данное введение в функции и возможности отладчика OllyDbg приведено лишь в объеме, достаточном для выполнения этой лабораторной работы. Реально функциональность отладчика еще шире, особенно в случае установки в него дополнительных плагинов. Их написано множество и обзор их возможностей выходит далеко за пределы данной лабораторной работы. По мере возникновения у вас практической потребности в выполнении неких «специфических» действий по отладке программ вы наверняка найдете в Интернете нужные плагины и освоите работу с ними.