微信号:ikanxue

介绍:致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号.

ARM与X86相关知识对比

2013-07-31 19:37 看雪学院

ARM与X86相关知识对比

by Xbalien

小弟近来开始学习原生逆向,并对其中一些基础知识做下总结(大神勿喷,出错请指正)...

Android的原生程序运行于Linux内核上,并且处理器基于ARM,因此对于NDK的逆向,一些设计汇编知识的安全技术(注入,HOOK,劫持)等就需要了解有关知识。因此有必要学习一些与ARM相关的知识,下面主要介绍我们必须要了解的知识,具体指令等更加详细的知识参考相关文档,总结目录如下:

  1. 寄存器比较之ARM VS 80X86

  2. 函数调用比较之ARM VS 80X86

  3. Linux系统调用比较之ARM VS 80X86


寄存器比较之ARM VS 80X86
1.80X86
寄存器有以下规则:
(1)数据寄存器(EAX、EBX、ECX、EDX):数据寄存器主要用来保存操作数和运算结果等信息。但其也有一些约定俗成的特别作用。EAX用于存放函数返回值;EBX常用作计算存储器地址时的基址寄存器;ECX用作计数器使用,EDX一些计算中的默认参与运算寄存器。
(2)变址寄存器(ESI、EDI):它们主要用于存放存储单元在段内的偏移量。
(3)指针寄存器(EBP、ESP):ESP常用作堆栈指针,指向栈顶维护堆栈变化;EBP用作栈基地址,主要用于维护该函数栈帧,可直接存取堆栈中的数据。
(4)指令指针(EIP):存放下次将要执行的指令在代码段的偏移量。

2.ARM(用户模式)
寄存器的使用必须满足下面的规则:
(1)函数间通过寄存器R0~R3来传递参数,低于32位的函数返回值存于R0。
(2)在函数中,使用寄存器R4~R11来保存局部变量。函数进入时必须保存所用到的局部变量寄存器的值,在返回前必须恢复这些寄存器的值;对于函数中没有用到的寄存器则不必进行这些操作。在Thumb中,通常只能使用寄存器 R4~R7来保存局部变量。
(3)寄存器R12 用作函数间的scratch 寄存器,记作IP
(4)寄存器R13 用作数据栈指针,记作SP。函数调用前后必须保持堆栈平衡。
(5)寄存器R14 称为连接寄存器,记作LR。它用作保存函数的返回地址。如果在函数中保存了返回地址,寄存器R14 则可以用作其他用途。
(6)寄存器R15是程序计数器,记作PC。

函数调用比较之ARM VS 80X86
函数调用样例:

代码:

1.80X86
函数调用主要是使用CALL指令触发,函数结束并由RET/RETN返回到调用该函数时的下一条指令。在函数调用执行过程中,大部分通过栈来完成,包括参数的传递、局部变量存储、函数返回地址等。函数调用函数栈变化如下(常见调用方式):

|……    |<-------- [ESP](分配完局部变量后)
|……    |
|局部变量2  |
|局部变量1 |
|上层[EBP]  |<-------- [EBP](栈帧)
|返回地址  |
|参数1  |
|参数2  |
|参数3  |
+|栈底方向,高地址|+<-------- [ESP](调用前)

整个函数执行过程中,有[EBP]来操作栈中的数据,函数调用结束后,根据栈中的返回地址返回上级函数。

IDA载入,call函数即将被调用的代码如下:

代码:

函数参数压栈,并调用call函数

call函数里边的代码:

代码:

进入函数后,
push ebp       ;先保存上层函数栈帧
sub esp,54h      ;栈中开辟空间用于函数过程使用(局部变量等),
mov eax, 0CCCCCCCCh
rep stosd       ;将预留空间填充为CC,以便越界中断
之后的mov操作即可看出是在给局部变量赋值。
最后运算结果存储于eax 。
完成函数功能后,函数恢复之前寄存器值,retn返回。

2.ARM
一般采用B系列指令执行函数的跳转执行,其中BL指令将返回地址存储于LR寄存器,BLX指令除了地址存储于LR寄存器,还对要执行的指令进行判断(ARM or Thumb)。
在参数传递时,将所有参数看作是存放在连续的内存单元中的字数据。然后,依次将各字数据传送到寄存器R0~R3中,如果参数多于4个,则通过栈进行存储,入栈的顺序与参数顺序相反,即最后一个字数据先入栈。
局部变量可以存储在寄存器中,也可以有栈来分配。
函数执行完后,若结果32位的整数时,可以通过寄存器返回(一般使用R0)。 64位整数时,可以通过寄存器R0和R1返回,依次类推(不含浮点运算结果)。最后将之前保存的函数地址赋予到PC(可以是LR,也可以是其他寄存器)。函数调用结构图可如下(采用BL跳转):

寄存器:
R0 = 参数1                        
R1 = 参数2              
R2 = 参数3              
R3 = 参数4            
LR = 返回地址  
栈:
|参数5      |
|参数6      |
|参数7      |
+|栈底方向,高地址|+
IDA载入,call函数即将被调用的代码如下:

代码:

通过BL进行函数调用,参数分别存放在R0~R3寄存器中。

call函数里边的代码:

代码:

结果存在R0中,并通过BX LR跳转会函数被调用的下一条指令,并判断指令类型。  

Linux系统调用比较之ARM VS 80X86
1.80X86
在该系列体系中,系统调用号将放入%eax,它的参数则依次放入%ebx,%ecx,%edx,%esi和%edi。然后调用软中断0x80,程序将参数和系统调用号交给内核,内核来完成系统调用的执行比如,在以下的调用:
Write(2,“Hello”,5)的汇编形式大概是这样的
movl $4, %eax
movl $2, %ebx
movl $hello, %ecx
movl $5, %edx
int  $0×80
在进行linux进行注入过程中,常采用ptrace函数,对于系统调用的查看,只需要根据函数调用时刻寄存器的值,即可判断当前程序执行的函数功能以及所附带的参数。

2.ARM
在ARM架构上,所有的系统调用都是通过SWI软中断来实现的,指令如下:
SWI{cond} immed_24,具体的调用号存放在寄存器R7中,调用函数的参数和之前提到的传参方式相同。例如:exit(0)
MOV R0,#0
MOV R7,#7
SWI #0

以上为最近学习总结,有错误的地方请大家指正!

-----看雪学院,微信ID:ikanxue-----

附上5个邀请码,临时用户登陆看雪论坛bbs.pediy.com,按要求激活帐号,一个邀请码只能使用一次,先到先得。

B66707A17976B92E07FEF61F121F6C
286A2C5C2F0B322C760F07EF5B7671
969B761550B77B67600B00EC5BFB05
F2CD6C42C121EB91D94FF012929CD2
E6B4CD9DD210B6CED16E1721671E76

参与此话题讨论请点击如下链接:

 
看雪学院 更多文章 汽车CAN协议hacking blackhat-PLC-导火线:工控PLC蠕虫的实现 看雪众测测试报告01期 看雪众测平台上线公测 《2015MSC移动安全挑战赛(第二届)》比赛进行中……
猜您喜欢 重大决定!你绝对不想错过的内容 中年程序员的困惑 53个要点提高PHP编程效率 Swift结构体和值类型 如何理解CSS的display属性