经理的皮鞋湿了，但是却没有变胖，所以经理的皮鞋是人造革的。
 
 
刚刚写了一篇文章：
 不依赖OS编译器，不依赖库，用汇编/机器码直接编程： https://blog.csdn.net/dog250/article/details/89500153
 
展示了一个直接执行二进制指令文件的基本方案，基于Linux内核来执行。
 
值得一提的是，这不是什么特别有技术含量的东西，这只是一个基本功，我在2006年的长春吉林大学边上租住的房子里就玩过此法。那时是用VC 6。
 
大公司的程序员不会屑于写我这些淫巧，即便他们也不一定会，也不一定懂，他们只是太关注业务，也许是真的没时间，也许真的就是不屑，觉得这太简单。但是，我的意思就是，这些东西真的太简单，如果你不懂，那真的不是一个合格的程序员。
 
 
本文写一个 解释器 ，载入一个仅包含二进制指令的文件，然后执行，这非常简单。
 
 
有两种方法可以简单的改变程序的执行流：
 
通过替换函数调用的返回地址。
 这是call指令提供的功能，call指令执行时，会将下一条指令压栈，我们只需要在栈里找到这个位置，将其替换为自己的指令即可。
直接通过内联汇编调用jmp指令执行自己的指令。
 这个非常直接，超级简单。
 
首先看第一个方法，代码如下：
 
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>

// 我们想直接执行这段指令，当然，它保存于某个文件，可以从文件里读出到code内存空间。
// char nop[] = {0x48, 0xc7, 0xc0, 0x3c, 0x00, 0x00, 0x00, 0x48, 0x31, 0xff, 0x0f, 0x05};
unsigned char *code;
void exec()
{
	unsigned long a, *p;
	// 替换返回地址，使得exec返回的时候，跳转到我们的代码。
	p = (void*)((long)&a + 24);
	*p = (unsigned long)code;
}

int main(int argc, char **argv)
{
	FILE *fp = NULL;

	fp = fopen(argv[1], "r");
	// 映射地址空间
	code = (unsigned char*)mmap(0, 1024, PROT_READ|PROT_WRITE|PROT_EXEC, MAP_ANON|MAP_PRIVATE, 0, 0);
	//memcpy(code, nop, sizeof(nop));
	// 将指令文件内容读取到code指示的地址空间。
	fread(code, 1024, 1, fp);
	// 执行之
	exec();
	printf("end\n");
}
 
接下来看看直接jmp的方式，依然是一个很简单的代码：
 
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>

// 我们想直接执行这段指令，当然，它保存于某个文件，可以从文件里读出到code内存空间。
//char nop[] = {0x48, 0xc7, 0xc0, 0x3c, 0x00, 0x00, 0x00, 0x48, 0x31, 0xff, 0x0f, 0x05};
unsigned char *code;

int main(int argc, char **argv)
{
	FILE *fp = NULL;

	fp = fopen(argv[1], "r");
	code = (unsigned char*)mmap(0, 1024, PROT_READ|PROT_WRITE|PROT_EXEC, MAP_ANON|MAP_PRIVATE, 0, 0);
	// memcpy(code, nop, sizeof(nop));
	fread(code, 1024, 1, fp);

	asm ( "jmp %0"
          :           
          :"r"(code)
          :);

	printf("end\n");
}
 
将上述的代码编译成一个比如a.out的程序，将一个二进制指令文件作为参数执行之，就会看到效果了。
 
我来准备一个二进制指令文件，以fork炸弹为例：
 
.global _start
_start:
	mov     $57, %rax               # fork 炸弹
	syscall
	jmp _start
 
照常编译：
 
[root@localhost ~]# as --64 -o forkbomb.o forkbomb.s
[root@localhost myflat]# ld -melf_x86_64 -o forkbomb forkbomb.o --oformat=binary
 
然后将这个forkbomb作为参数执行a.out，试试看。
 
 
值得注意的是，以上的例子中，我没有为指令文件里的指令分配独立的stack空间，而是借用了a.out主进程的stack空间，所有的pop，push等指令，都会操作a.out主进程的stack。
 
其实，更优雅的方案是，单独分配一个新的stack空间，切过去，皮鞋就干了。
 
 
有人会说这样做没有内核方案直接。确实是的，毕竟我们无法直接在bash的命令提示符里输入forkbomb那般执行，但是想达到这个效果，这也不难啊。
 
你在命令提示符里输入的任何程序都是通过bash来执行的，我们把上述的a.out整个儿给塞进bash中不就OK了吗？在bash开始fork/exec新进程的时候，自己完成mmap，memcpy的事情，然后要么通过替换函数返回地址后主动return，要么直接内联汇编里jmp，不就OK了么。
 
非常简单！
 
 
请注意，埃里克.雷蒙德有枪！
 
 皮鞋湿，不会胖！但是经理的皮鞋除外。埃里克.雷蒙德也不懂皮鞋，毕竟，第一次穿。

;示例一 CALL立即数 CALL后面跟一个32位立即数 
 ;=================================== 
 1 [bits 32] 
 2 test: 
 3 00000000 90 nop 
 4 00000001 90 nop 
 5 00000002 90 nop 
 6 00000003 E8F8FFFFFF call test 
 7 00000008 90 nop 
 8 00000009 90 nop 
 9 0000000A 90 nop 
 ;=================================== 
 CALL后面跟一个立即数,也就是32位偏移量时,机器码为 0XE8 后面的32位立即数是偏移量. 
 偏移量的计算: 目标偏移地址 减 CALL 指令后的下一条指令的地址 在当前的例子中,test是目标偏移地址,地址是0 CALL指令后的地址为 08 , 0-08=FFFFFFF8 注意,在内存中,低字在前,高字在后,所以是 0XE8 F8 FF FF FF
 
偏移量计算的公式二: 目标偏移-CALL指令的起始偏移-CALL指令的大小
 
;示例二 CALL [内存地址] 
 ;===================================== 
 1 [bits 32] 
 2 
 3 00000000 90 nop 
 4 00000001 90 nop 
 5 00000002 90 nop 
 6 00000003 FF15[0B000000] call [test] 
 7 00000009 90 nop 
 8 0000000A 90 nop 
 9 test: 
 10 0000000B 90 nop 
 ;====================================== 
 机器码是0XFF15 后面跟的是内存地址. test的内存地址是 0B ,所以后面跟的是0B 同样是低字在前,高字在后
 
示例三 call far [内存地址] 
 ;======================================= 
 1 [bits 32] 
 2 
 3 00000000 90 nop 
 4 00000001 90 nop 
 5 00000002 90 nop 
 6 00000003 FF1D[0B000000] call far [test] 
 7 00000009 90 nop 
 8 0000000A 90 nop 
 9 test: 
 10 0000000B 90 nop 
 ;======================================= 
 CALL FAR 内存地址,机器码是 0XFF1D 后面内存地址的表示是相同的,但执行不同. 会同时改变CS 与 IP.
 
;示例四 JMP 立数数 
 ;======================================= 
 1 [bits 32] 
 2 
 3 00000000 90 nop 
 4 00000001 90 nop 
 5 00000002 90 nop 
 6 00000003 E902000000 jmp test 
 7 00000008 90 nop 
 8 00000009 90 nop 
 9 test: 
 10 0000000A 90 nop 
 ;======================================= 
 JMP 立即数,机器码是 E9 ,后面跟一个偏移量. 偏移量计算与上面CALL相同. test 地址是 0A,JMP指令后下一条指令地址是 08 ,0A-08=2
 
;JMP 内存地址 
 ;======================================= 
 1 [bits 32] 
 2 
 3 00000000 90 nop 
 4 00000001 90 nop 
 5 00000002 90 nop 
 6 00000003 FF25[0B000000] jmp [test] 
 7 00000009 90 nop 
 8 0000000A 90 nop 
 9 test: 
 10 0000000B 90 nop 
 ;======================================= 
 JMP 内存地址,机器码是 0XFF25 后面跟的是内存地址. 注意,是从后面的内存地址取出目标数值来改变EIP.
 
;JMP FAR 内存地址 
 ;======================================== 
 1 [bits 32] 
 2 
 3 00000000 90 nop 
 4 00000001 90 nop 
 5 00000002 90 nop 
 6 00000003 FF2D[0B000000] jmp far [test] 
 7 00000009 90 nop 
 8 0000000A 90 nop 
 9 test: 
 10 0000000B 90 nop 
 ;======================================== 
 JMP FAR 机器地址是 0XFF2D 后面同样是内存地址.
 
;============================================================ 
 直接远跳转与直接远调用 
 ;============================================================ 
 1 [bits 32] 
 2 00000000 EA007C00000800 jmp 0x8:0x7c00 
 3 00000007 9A007C00000800 call 0x8:0x7c00 
 JMP直接远跳,机器码是0XEA 32位的偏移在前,16位的段选择子在后. 
 CALL直接远跳,机器码是0X9A 32位的偏移在前,16位的段选择子在后.

Binary Arithmetic Instructions
 
二进制算术指令执行基本的二进制整型计算，操作数可以是字节，单字和双字整型数，位于存储器中，和/或通用寄存器中。
 
 
指令
 
 
描述
 
 
ADCX
 
 
带进位的无符号整数加法
 
 
ADOX
 
 
带溢出位的无符号整数加法
 
Intel C/C++ Compiler Intrinsic Equivalent
unsigned char _addcarryx_u32 (unsigned char c_in, unsigned int src1, unsigned int src2, unsigned int *sum_out);
  
 
unsigned char _addcarryx_u64 (unsigned char c_in, unsigned __int64 src1, unsigned __int64 src2, unsigned __int64 *sum_out);
 
 
ADD
 
 
整数加法
 
 
ADC
 
 
带进位的整数加法
 
 
SUB
 
 
减法
 
 
SBB
 
 
带借位的整数减法
 
 
IMUL
 
 
有符号整数乘法
 
 
MUL
 
 
无符号整数乘法
 
 
IDIV
 
 
有符号整数除法
 
 
DIV
 
 
无符号整数除法
 
 
INC
 
 
加1操作
 
 
DEC
 
 
减1操作
 
 
NEG
 
 
取反操作
 
 
CMP
 
 
比较操作
 
 
 
Decimal Arithmetic Instructions
 
十进制算术指令执行十进制整型数算术计算，操作数是BCD码。
 
简单的说，BCD码有两种类型：组合的BCD码，与未组合的BCD码。
 
组合的BCD码是指将两个十进制数字（即0～9）存放在一个字节中，每个数字占4个比特位。例如两位十进制数12D的组合BCD码表示为0001 0010（参看下图左侧）。
 
未组合的BCD码是指将单个十进制数字（即0～9）存放在单个字节中，即每个数字占一个字节，该字节的高4比特位是0000，低4比特位是十进制数字0～9。例如上述的两位十进制数12D的未组合BCD码表示为0000.0001-0000.0010（忽略点号.，这里仅用于分隔二进制比特位，方便阅读） ，低字节表示低位数字，高字节表示高位数字。
 
由于处理器是按照二进制执行算术运算，所以这两种BCD码在执行计算后，需要运行调整指令，将计算结果调整为十进制BCD码表示。
 
 
 
 
指令
 
 
描述
 
 
DAA
 
 
组合的BCD码，加法计算后，调整结果到组合的BCD码
 
 
DAS
 
 
组合的BCD码，减法计算后，调整结果到组合的BCD码
 
 
AAA
 
 
未组合的BCD码，做加法计算后，调整结果到未组合的BCD码
 
 
AAS
 
 
未组合的BCD码，做减法计算后，调整结果到未组合的BCD码
 
 
AAM
 
 
未组合的BCD码，做乘法计算后，调整结果到一对未组合的BCD码
 
 
AAD
 
 
调整两个未组合的BCD数字（最低有效数字在AL寄存器中，最高有效数字在AH寄存器中），在调整后的结果上做除法，可以得到正确的未组合的BCD值。
 
注：AAD指令在执行除法操作前执行调整操作数。其他指令DAA/DAS/AAA/AAS/AAM都是在算术操作之后调整计算结果。