1

这很可能已经被问过并回答过,但我的搜索是徒劳的。

问题是关于位、字节掩码和检查。

假设一个有两个“触发器”0xC4并且0xC5

196: 1100 0100  0xc4
197: 1100 0101  0xc5

var检查是否是的简单方法是:

if (var == 0xc5 || var == 0xc4) {

}

但有时人们会看到这个(或类似的):

if ( ((var ^ magic) & mask) == 0)  {

}

我的问题是如何找到魔法面具。将使用哪些方法、程序、技巧等来形成这些值并断言是否存在?

编辑:

澄清。是的,在这个确切的例子中,前者会比后者更好,但我的问题更像是生成和检查这些类型的掩码。总体来说有点绕。我省略了很多,并试图使问题变得简单。但 ...

作为一个例子,我查看了 OllyDbg 反编译器的源代码,其中一个发现:

if (((code ^ pd->code) & pd->mask) == 0) 
    FOUND

code从指令中转换的 0 - 3 个字节的命令在哪里。

unsigned long code = 0;
if (size > 0) *(((char *)&code) + 0) = cmd[0];
if (size > 1) *(((char *)&code) + 1) = cmd[1];
if (size > 2) *(((char *)&code) + 2) = cmd[2];

与仅屏蔽字节部分一样cmd

并且pd是:

struct t_cmddata {
    uint32_t mask;          Mask for first 4 bytes of the command
    uint32_t code;          Compare masked bytes with this
        ...
}

持有一个长数组:

const t_cmddata cmddata[] = {
/*      mask      code  */
  { 0x0000FF, 0x000090, 1,00,  NNN,NNN,NNN, C_CMD+0,        "NOP" },
  { 0x0000FE, 0x00008A, 1,WW,  REG,MRG,NNN, C_CMD+0,        "MOV" },
  { 0x0000F8, 0x000050, 1,00,  RCM,NNN,NNN, C_PSH+0,        "PUSH" },
  { 0x0000FE, 0x000088, 1,WW,  MRG,REG,NNN, C_CMD+0,        "MOV" },
  { 0x0000FF, 0x0000E8, 1,00,  JOW,NNN,NNN, C_CAL+0,        "CALL" },
  { 0x0000FD, 0x000068, 1,SS,  IMM,NNN,NNN, C_PSH+0,        "PUSH" },
  { 0x0000FF, 0x00008D, 1,00,  REG,MMA,NNN, C_CMD+0,        "LEA" },
  { 0x0000FF, 0x000074, 1,CC,  JOB,NNN,NNN, C_JMC+0,        "JE,JZ" },
  { 0x0000F8, 0x000058, 1,00,  RCM,NNN,NNN, C_POP+0,        "POP" },
  { 0x0038FC, 0x000080, 1,WS,  MRG,IMM,NNN, C_CMD+1,        "ADD" },
  { 0x0000FF, 0x000075, 1,CC,  JOB,NNN,NNN, C_JMC+0,        "JNZ,JNE" },
  { 0x0000FF, 0x0000EB, 1,00,  JOB,NNN,NNN, C_JMP+0,        "JMP" },
  { 0x0000FF, 0x0000E9, 1,00,  JOW,NNN,NNN, C_JMP+0,        "JMP" },
  { 0x0000FE, 0x000084, 1,WW,  MRG,REG,NNN, C_CMD+0,        "TEST" },
  { 0x0038FE, 0x0000C6, 1,WW,  MRG,IMM,NNN, C_CMD+1,        "MOV" },
  { 0x0000FE, 0x000032, 1,WW,  REG,MRG,NNN, C_CMD+0,        "XOR" },
  ...

这将是一个典型使用实例。再说一遍:方法。一直在看卡诺图等——但认为同一区域的操作还有其他等方法。

4

2 回答 2

2

我假设您的问题是:给定一组“触发器”,我们能否找到可以通过以下代码检查触发器的掩码和魔法

if ( ((var ^ magic) & mask) == 0)  {
}

或者它是一样的

if ((var & mask) == (magic & mask))  {
}

“触发器”的一个例子就像

196: 1100 0100  0xc4
197: 1100 0101  0xc5
204: 1100 1100  0xcc
205: 1100 1101  0xcd

如果可行,“触发器”的比特应该分为“特定比特”和“任意比特”两种。与前 4 位和第 6 位和第 7 位一样,每个触发器中的特定位都相同。如果您更改触发器的任意位,它仍然是触发器。

所以恰好有 2^N 个触发器,其中 N 表示任意位数。

这是我在stackoverflow上的第一个答案。我不确定我是否正确理解了您的问题。还是您在问其他一些玩弄的方法?

于 2013-07-05T11:50:06.783 回答
1

鉴于你的两个价值观,

196: 1100 0100  0xc4
197: 1100 0101  0xc5

您想要屏蔽不同的位,在本例中为位 0。因此屏蔽值将是 0x01、0xFE 的倒数。

IE。0xC4 和 0xFE == 0xC4,以及 0xC5 和 0xFE == 0xC4。

这意味着两个值都变为 0xC4。然后,您可以通过对应该保留的确切位模式进行异或检查来检查 0xC4。

     1100 0100  0xC4

IE。0xC4 ^ 0xC4 == 0。

     1100 0100    1100 0101
   & 1111 1110    1111 1110 
     ---- ----    ---- ----
     1100 0100    1100 0100
   ^ 1100 0100
     ---- ----
     0000 0000

先戴口罩,否则可能会完全混淆。

查看实际的源文件,我有点认为他试图被混淆。许多函数都需要分解。

于 2013-07-05T10:55:32.647 回答