【蠢新学汇编】截取 子程序代码 字节集片段 终版

year1970

感谢分享

ctry78985

感谢分享

查过

感谢您对论坛的支持！

豆豆灰常开心

感谢分享，很给力！~

wkn20051123

感谢大神分享~！

亿万

感谢分享

bianyuan456

感谢解答，原来是用来分析的。

神行

不好意思，之前提的意见，我没注意到你对汇编特别感兴趣。我对你的代码进行了改进。你看看如何。主要增加内存安全验证，优化搜索算法（函数头+函数尾双阶段搜索），添加安全计数（头100字节 尾500字节限制），多重失败检查点，无效长度处理，内存分配失败处理，减少不必要的内存访问，优化跳转逻辑，新增内存属性检查，安全长度限制4KB，独立内存分配复制，错误状态返回

  

窗口程序集名	保 留	保 留	备 注
窗口程序集_启动窗口

子程序名	返回值类型	公开	备 注
__启动窗口_创建完毕

变量名	类 型	静态	数组	备 注
机器码	字节集
长度	整数型

' 安全获取子程序机器码
机器码 ＝ 取函数机器码_增强版 (&子程序, 长度)
如果真 (取字节集长度 (机器码) ＝ 0)
信息框 ("获取机器码失败！", 0, "错误", )
调试输出 ("获取成功，长度：" ＋ 到文本 (长度), 机器码)

子程序名	返回值类型	公开	备 注
子程序	双精度小数型
参数名	类 型	参考	可空	数组	备 注
参数一	整数型
参数二	双精度小数型

返回 (参数一 ＋ 参数二)

子程序名	返回值类型	公开	备 注
取函数机器码_增强版	字节集
参数名	类 型	参考	可空	数组	备 注
函数指针	整数型				要获取机器码的函数地址
返回长度	整数型				返回获取的机器码长度

变量名	类 型	静态	数组	备 注
起始偏移	整数型
结束偏移	整数型
安全计数器	整数型
内存保护	整数型

' ================ 安全验证 ================
如果真 (函数指针 ＝ 0 或 是否可读内存 (函数指针, 1) ＝ 假)
返回 ({ })

' ================ 内存属性检查 ================
内存保护 ＝ 取内存保护属性 (函数指针)
如果真 (位与 (内存保护, #PAGE_EXECUTE_READ ) ＝ 0)
返回 ({ })

' ================ 汇编实现 ================
置入代码 ({ 139, 69, 8, 137, 69, 252, 51, 210, 137, 85, 248 })
' MOV EAX, [EBP+8]    ; 获取函数指针
' MOV [EBP-4], EAX    ; 起始偏移 = 函数地址
' XOR EDX, EDX        ; EDX = 0 (安全计数器)
' MOV [EBP-8], EDX    ; 结束偏移 = 0
' ================ 查找函数头 ================
置入代码 ({ 139, 77, 252, 138, 1, 60, 85, 117, 3, 235, 16, 144 })
' HEADER_SEARCH:
' MOV ECX, [EBP-4]    ; ECX = 当前地址
' MOV AL, [ECX]       ; 读取字节
' CMP AL, 0x55        ; 检查PUSH EBP
' JNE NOT_HEADER
' JMP HEADER_FOUND
' NOT_HEADER:
' NOP
置入代码 ({ 255, 69, 252, 255, 69, 244, 131, 125, 244, 100, 124, 229 })
' INC DWORD [EBP-4]   ; 地址+1
' INC DWORD [EBP-12]  ; 安全计数器+1
' CMP DWORD [EBP-12], 100 ; 最多检查100字节
' JL HEADER_SEARCH
置入代码 ({ 233, 88, 0, 0, 0 })
' JMP FAIL_EXIT       ; 未找到函数头
置入代码 ({ 131, 193, 1, 137, 77, 252 })
' HEADER_FOUND:
' ADD ECX, 1          ; 跳过函数头
' MOV [EBP-4], ECX    ; 更新起始地址
' ================ 查找函数尾 ================
置入代码 ({ 139, 85, 252, 137, 85, 248, 51, 210, 137, 85, 244 })
' MOV EDX, [EBP-4]    ; EDX = 起始地址
' MOV [EBP-8], EDX    ; 初始化结束地址
' XOR EDX, EDX        ; 清空EDX
' MOV [EBP-12], EDX   ; 重置安全计数器
置入代码 ({ 139, 117, 248, 138, 6, 60, 139, 117, 19 })
' TAIL_SEARCH:
' MOV ESI, [EBP-8]    ; ESI = 当前地址
' MOV AL, [ESI]       ; 读取字节
' CMP AL, 0x8B        ; 检查MOV EBP,ESP
' JNE NEXT_BYTE
置入代码 ({ 128, 126, 1, 229, 117, 12, 128, 126, 2, 93, 117, 8 })
' CMP BYTE [ESI+1], 0xE5 ; 检查完整指令
' JNE NEXT_BYTE
' CMP BYTE [ESI+2], 0x5D ; 检查POP EBP
' JNE NEXT_BYTE
置入代码 ({ 128, 126, 3, 194, 116, 8, 128, 126, 3, 195, 116, 4 })
' CMP BYTE [ESI+3], 0xC2 ; RETN xxxx
' JE TAIL_FOUND
' CMP BYTE [ESI+3], 0xC3 ; RETN
' JE TAIL_FOUND
置入代码 ({ 255, 69, 248, 255, 69, 244, 131, 125, 244, 500, 124, 204 })
' NEXT_BYTE:
' INC DWORD [EBP-8]   ; 地址+1
' INC DWORD [EBP-12]  ; 计数器+1
' CMP DWORD [EBP-12], 500 ; 最多检查500字节
' JL TAIL_SEARCH
置入代码 ({ 139, 77, 252, 43, 77, 248, 137, 77, 240 })
' TAIL_FOUND:
' MOV ECX, [EBP-8]    ; 结束地址
' SUB ECX, [EBP-4]    ; 计算长度
' MOV [EBP-16], ECX   ; 保存长度
' ================ 长度验证 ================
置入代码 ({ 131, 249, 0, 126, 29, 129, 249, 0, 16, 0, 0, 127, 22 })
' CMP ECX, 0          ; 检查长度有效性
' JLE INVALID_LEN
' CMP ECX, 4096       ; 最大4KB
' JG INVALID_LEN
置入代码 ({ 139, 85, 252, 139, 77, 248, 43, 202, 137, 77, 240, 233, 5, 0, 0, 0 })
' MOV EDX, [EBP-4]    ; 起始地址
' MOV ECX, [EBP-8]    ; 结束地址
' SUB ECX, EDX        ; 计算实际长度
' MOV [EBP-16], ECX   ; 保存长度
' JMP COPY_CODE
置入代码 ({ 51, 201, 137, 77, 240 })
' INVALID_LEN:
' XOR ECX, ECX        ; 长度置0
' MOV [EBP-16], ECX
' ================ 复制机器码 ================
置入代码 ({ 139, 117, 252, 139, 125, 240, 133, 255, 116, 19 })
' COPY_CODE:
' MOV ESI, [EBP-4]    ; 源地址
' MOV EDI, [EBP-16]   ; 长度
' TEST EDI, EDI       ; 检查长度
' JZ FAIL_EXIT
置入代码 ({ 106, 0, 255, 117, 240, 232, 40, 0, 0, 0, 137, 69, 232 })
' PUSH 0              ; 内存属性
' PUSH [EBP-16]       ; 长度
' CALL AllocMem       ; 调用内存分配
' MOV [EBP-24], EAX   ; 保存分配的内存地址
置入代码 ({ 139, 77, 240, 139, 117, 252, 139, 125, 232, 243, 164 })
' MOV ECX, [EBP-16]   ; 长度
' MOV ESI, [EBP-4]    ; 源地址
' MOV EDI, [EBP-24]   ; 目标地址
' REP MOVSB           ; 复制机器码
' ================ 返回结果 ================
置入代码 ({ 139, 69, 232, 233, 10, 0, 0, 0 })
' MOV EAX, [EBP-24]   ; 返回内存地址
' JMP SUCCESS_EXIT
置入代码 ({ 51, 192 })
' FAIL_EXIT:
' XOR EAX, EAX        ; 返回0表示失败
置入代码 ({ 139, 77, 240, 137, 77, 236 })
' SUCCESS_EXIT:
' MOV ECX, [EBP-16]   ; 获取长度
' MOV [EBP-20], ECX   ; 保存到局部变量
如果真 (是否为空 (返回长度) ＝ 假)
返回长度 ＝ 取变量数据地址_整数 (取变量地址 (起始偏移) － 取变量地址 (结束偏移))

返回 (指针到字节集 (取变量数据地址_整数 (起始偏移), 取变量数据地址_整数 (结束偏移 － 起始偏移)))

.版本 2<br /> <br /> .程序集 窗口程序集_启动窗口<br /> <br /> .子程序 __启动窗口_创建完毕<br /> .局部变量 机器码, 字节集<br /> .局部变量 长度, 整数型<br /> <br /> ' 安全获取子程序机器码<br /> 机器码 ＝ 取函数机器码_增强版 (&子程序, 长度)<br /> .如果真 (取字节集长度 (机器码) ＝ 0)<br />     信息框 ("获取机器码失败！", 0, "错误", )<br />     调试输出 ("获取成功，长度：" ＋ 到文本 (长度), 机器码)<br /> .如果真结束<br /> <br /> <br /> .子程序 子程序, 双精度小数型<br /> .参数 参数一, 整数型<br /> .参数 参数二, 双精度小数型<br /> <br /> 返回 (参数一 ＋ 参数二)<br /> <br /> .子程序 取函数机器码_增强版, 字节集<br /> .参数 函数指针, 整数型, , 要获取机器码的函数地址<br /> .参数 返回长度, 整数型, 参考 可空, 返回获取的机器码长度<br /> .局部变量 起始偏移, 整数型<br /> .局部变量 结束偏移, 整数型<br /> .局部变量 安全计数器, 整数型<br /> .局部变量 内存保护, 整数型<br /> <br /> ' ================ 安全验证 ================<br /> .如果真 (函数指针 ＝ 0 或 是否可读内存 (函数指针, 1) ＝ 假)<br />     返回 ({ })<br /> .如果真结束<br /> <br /> ' ================ 内存属性检查 ================<br /> 内存保护 ＝ 取内存保护属性 (函数指针)<br /> .如果真 (位与 (内存保护, #PAGE_EXECUTE_READ) ＝ 0)<br />     返回 ({ })<br /> .如果真结束<br /> <br /> ' ================ 汇编实现 ================<br /> 置入代码 ({ 139, 69, 8, 137, 69, 252, 51, 210, 137, 85, 248 })<br /> ' MOV EAX, [EBP+8]    ; 获取函数指针<br /> ' MOV [EBP-4], EAX    ; 起始偏移 = 函数地址<br /> ' XOR EDX, EDX        ; EDX = 0 (安全计数器)<br /> ' MOV [EBP-8], EDX    ; 结束偏移 = 0<br /> <br /> ' ================ 查找函数头 ================<br /> 置入代码 ({ 139, 77, 252, 138, 1, 60, 85, 117, 3, 235, 16, 144 })<br /> ' HEADER_SEARCH:<br /> ' MOV ECX, [EBP-4]    ; ECX = 当前地址<br /> ' MOV AL, [ECX]       ; 读取字节<br /> ' CMP AL, 0x55        ; 检查PUSH EBP<br /> ' JNE NOT_HEADER<br /> ' JMP HEADER_FOUND<br /> ' NOT_HEADER:<br /> ' NOP<br /> <br /> 置入代码 ({ 255, 69, 252, 255, 69, 244, 131, 125, 244, 100, 124, 229 })<br /> ' INC DWORD [EBP-4]   ; 地址+1<br /> ' INC DWORD [EBP-12]  ; 安全计数器+1<br /> ' CMP DWORD [EBP-12], 100 ; 最多检查100字节<br /> ' JL HEADER_SEARCH<br /> <br /> 置入代码 ({ 233, 88, 0, 0, 0 })<br /> ' JMP FAIL_EXIT       ; 未找到函数头<br /> <br /> 置入代码 ({ 131, 193, 1, 137, 77, 252 })<br /> ' HEADER_FOUND:<br /> ' ADD ECX, 1          ; 跳过函数头<br /> ' MOV [EBP-4], ECX    ; 更新起始地址<br /> <br /> ' ================ 查找函数尾 ================<br /> 置入代码 ({ 139, 85, 252, 137, 85, 248, 51, 210, 137, 85, 244 })<br /> ' MOV EDX, [EBP-4]    ; EDX = 起始地址<br /> ' MOV [EBP-8], EDX    ; 初始化结束地址<br /> ' XOR EDX, EDX        ; 清空EDX<br /> ' MOV [EBP-12], EDX   ; 重置安全计数器<br /> <br /> 置入代码 ({ 139, 117, 248, 138, 6, 60, 139, 117, 19 })<br /> ' TAIL_SEARCH:<br /> ' MOV ESI, [EBP-8]    ; ESI = 当前地址<br /> ' MOV AL, [ESI]       ; 读取字节<br /> ' CMP AL, 0x8B        ; 检查MOV EBP,ESP<br /> ' JNE NEXT_BYTE<br /> <br /> 置入代码 ({ 128, 126, 1, 229, 117, 12, 128, 126, 2, 93, 117, 8 })<br /> ' CMP BYTE [ESI+1], 0xE5 ; 检查完整指令<br /> ' JNE NEXT_BYTE<br /> ' CMP BYTE [ESI+2], 0x5D ; 检查POP EBP<br /> ' JNE NEXT_BYTE<br /> <br /> 置入代码 ({ 128, 126, 3, 194, 116, 8, 128, 126, 3, 195, 116, 4 })<br /> ' CMP BYTE [ESI+3], 0xC2 ; RETN xxxx<br /> ' JE TAIL_FOUND<br /> ' CMP BYTE [ESI+3], 0xC3 ; RETN<br /> ' JE TAIL_FOUND<br /> <br /> 置入代码 ({ 255, 69, 248, 255, 69, 244, 131, 125, 244, 500, 124, 204 })<br /> ' NEXT_BYTE:<br /> ' INC DWORD [EBP-8]   ; 地址+1<br /> ' INC DWORD [EBP-12]  ; 计数器+1<br /> ' CMP DWORD [EBP-12], 500 ; 最多检查500字节<br /> ' JL TAIL_SEARCH<br /> <br /> 置入代码 ({ 139, 77, 252, 43, 77, 248, 137, 77, 240 })<br /> ' TAIL_FOUND:<br /> ' MOV ECX, [EBP-8]    ; 结束地址<br /> ' SUB ECX, [EBP-4]    ; 计算长度<br /> ' MOV [EBP-16], ECX   ; 保存长度<br /> <br /> ' ================ 长度验证 ================<br /> 置入代码 ({ 131, 249, 0, 126, 29, 129, 249, 0, 16, 0, 0, 127, 22 })<br /> ' CMP ECX, 0          ; 检查长度有效性<br /> ' JLE INVALID_LEN<br /> ' CMP ECX, 4096       ; 最大4KB<br /> ' JG INVALID_LEN<br /> <br /> 置入代码 ({ 139, 85, 252, 139, 77, 248, 43, 202, 137, 77, 240, 233, 5, 0, 0, 0 })<br /> ' MOV EDX, [EBP-4]    ; 起始地址<br /> ' MOV ECX, [EBP-8]    ; 结束地址<br /> ' SUB ECX, EDX        ; 计算实际长度<br /> ' MOV [EBP-16], ECX   ; 保存长度<br /> ' JMP COPY_CODE<br /> <br /> 置入代码 ({ 51, 201, 137, 77, 240 })<br /> ' INVALID_LEN:<br /> ' XOR ECX, ECX        ; 长度置0<br /> ' MOV [EBP-16], ECX<br /> <br /> ' ================ 复制机器码 ================<br /> 置入代码 ({ 139, 117, 252, 139, 125, 240, 133, 255, 116, 19 })<br /> ' COPY_CODE:<br /> ' MOV ESI, [EBP-4]    ; 源地址<br /> ' MOV EDI, [EBP-16]   ; 长度<br /> ' TEST EDI, EDI       ; 检查长度<br /> ' JZ FAIL_EXIT<br /> <br /> 置入代码 ({ 106, 0, 255, 117, 240, 232, 40, 0, 0, 0, 137, 69, 232 })<br /> ' PUSH 0              ; 内存属性<br /> ' PUSH [EBP-16]       ; 长度<br /> ' CALL AllocMem       ; 调用内存分配<br /> ' MOV [EBP-24], EAX   ; 保存分配的内存地址<br /> <br /> 置入代码 ({ 139, 77, 240, 139, 117, 252, 139, 125, 232, 243, 164 })<br /> ' MOV ECX, [EBP-16]   ; 长度<br /> ' MOV ESI, [EBP-4]    ; 源地址<br /> ' MOV EDI, [EBP-24]   ; 目标地址<br /> ' REP MOVSB           ; 复制机器码<br /> <br /> ' ================ 返回结果 ================<br /> 置入代码 ({ 139, 69, 232, 233, 10, 0, 0, 0 })<br /> ' MOV EAX, [EBP-24]   ; 返回内存地址<br /> ' JMP SUCCESS_EXIT<br /> <br /> 置入代码 ({ 51, 192 })<br /> ' FAIL_EXIT:<br /> ' XOR EAX, EAX        ; 返回0表示失败<br /> <br /> 置入代码 ({ 139, 77, 240, 137, 77, 236 })<br /> ' SUCCESS_EXIT:<br /> ' MOV ECX, [EBP-16]   ; 获取长度<br /> ' MOV [EBP-20], ECX   ; 保存到局部变量<br /> <br /> .如果真 (是否为空 (返回长度) ＝ 假)<br />     返回长度 ＝ 取变量数据地址_整数 (取变量地址 (起始偏移) － 取变量地址 (结束偏移))<br /> .如果真结束<br /> <br /> 返回 (指针到字节集 (取变量数据地址_整数 (起始偏移), 取变量数据地址_整数 (结束偏移 － 起始偏移)))

胖子葛格

请教大神：为什么使用置入代码命令运行 这个程序里“调试输出 (截取)” 获得的字节集，会没有反应？
（我把子程序的内容改为调试输出（“aaaaaaaaa”））
该怎样执行截取到的代码？

胖子葛格

感谢大神分享~！