汇编与反汇编之小技巧
大家都知道，对于位于当前调试目标中的指令，可以使用WinDBG的u命令进行反汇编。u命令的参数是要反汇编代码的地址值或者符号，如果不指定，那么WinDBG会使用当前程序指针寄存器所指向的代码，例如：
0:001> u
ntdll!DbgBreakPoint:
7c901230 cc              int     3
7c901231 c3              ret
如果要想将汇编指令翻译为机器码，那么应该使用a命令，a命令使用的参数格式与u命令相同，只不过参数的含义代表的是要产生的机器码要存放的起始地 址。例如执行a 0x400000命令后，WinDBG会启动交互式编辑提示符（Input>），而后便可以输入汇编指令，没输入一条后，按回车，然后可以继续输入 下一条，结束时直接按回车。
举个实际的例子，启动记事本程序，然后将WinDBG附加上去，此时执行u命令看到的就是上面的反汇编结果，也就是EIP指向的是ntdll中的 DbgBreakPoint函数，这个函数只有两条指令。接下来执行a命令，在Input提示符后输入nop然后按回车，而后再按回车结束汇编操作。
此时再执行u ntdll!DbgBreakPoint命令，可以看到：
0:001> u
ntdll!DbgBreakPoint:
7c901230 90              nop
7c901231 c3              ret
可见本来的INT 3指令被替换为nop指令（机器码为90）了。
输入g命令恢复记事本程序执行，然后再按Ctrl+Break试图将其中断到调试器，发现不立刻反应了，这是因为远程中断所依赖的ntdll!DbgBreakPoint函数的INT 3指令被我们替换为NOP（空指令）了。不过当WinDBG发现中断操作超时后会使用挂起的方式来中断（感兴趣的读者，可以参考《软件调试》的10.6.7节）。
上面是基本的反汇编和汇编用法。下面再说一种特殊的用法。
如果我们在日志文件或者其它环境中看到一段机器码，那么如何将其翻译为汇编指令呢？u命令是不支持后面直接跟随机器码的。
这时一种简单的方法就是找一段内存，然后将要反汇编的机器码输入到这段内存中，然后再使用u命令。哪里找这段内存呢？这段内存必须可以写。通常可以 选择栈。具体来说，先使用r命令观察目前的栈顶地址，即ESP寄存器的值。为了不破坏栈上的数据，应该使用比ESP小的空闲区域。
例如：
0:001> r
eax=7ffd7000 ebx=00000001 ecx=00000002 edx=00000003 esi=00000004 edi=00000005
eip=7c901230 esp=00beffcc ebp=00befff4 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=0038  gs=0000             efl=00000246
ntdll!DbgBreakPoint:
7c901230 90              nop
上面的esp=00beffcc，如果我们要反汇编十几个字节的机器码，那么就可以使用00beff00开始的一段，即输入eb 00beff00，开始交互式编辑内存，输入要反汇编的机器码。
89.1E.83.C9.FF.F0.0F.C1.08.FF.75.08.E8.FD.0A.FD.FF.8B.45.08.5E.5B.5D.C2.08.00.CC.CC.CC.CC.CC.
输入结束后，再执行u 00beff00
0:001> u 00beff00
00beff00 891e            mov     dword ptr [esi],ebx
00beff02 83c9ff          or      ecx,0FFFFFFFFh
00beff05 f00fc108        lock xadd dword ptr [eax],ecx
00beff09 ff7508          push    dword ptr [ebp+8]
00beff0c e8fd0afdff      call    00bc0a0e
00beff11 8b4508          mov     eax,dword ptr [ebp+8]
00beff14 5e              pop     esi
00beff15 5b              pop     ebx

《软件调试》电子书下载：b23K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0$3i4K6u0W2j5%4y4V1L8W2)9J5k6h3&6W2N6q4)9J5c8Y4u0W2M7$3!0#2M7X3y4W2i4K6u0r3M7X3A6@1M7#2)9J5k6i4m8V1k6R3`.`.
高端调试：1b6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4V1N6X3c8T1k6#2)9J5k6h3!0J5k6#2)9J5c8R3`.`.
《Windows用户态程序高效排错》下载：f79K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6K6i4K6u0W2L8i4y4V1L8W2)9J5k6h3y4G2L8g2)9J5c8X3I4A6P5r3W2G2L8X3N6Q4x3V1k6S2N6s2c8S2j5$3S2E0k6h3&6@1i4K6u0r3y4K6b7$3x3K6x3&6i4K6u0W2j5i4y4Z5P5l9`.`.

[培训]科锐逆向工程师培训第53期2025年7月8日开班！