Belie

주로 산술연산(ADD,SUB,XOR,OR등) 명령어에서 상수/변수 값의 저장 용도로 많이 사용 되며, 어떤 어셈블리 명령어(MUL,DIV,LODS 등)들은 특정 레지스터를 직접 조작하기도 합니다. ECX는 반복문 명령어(LOOP)에서 반복 카운트(loop count)로 사용되며 (루프를 돌 떄 마다 ECX를 1씩 감소) EAX는 일반적으로 함수 리턴 값에 사용 됩니다.

EAX : Accumulator for operands and results data

EBX : Pointer to data in the DS segment

ECX : Counter for string and loop operations

EDX : I/O pointer

EBP : Pointer to data on the stack(in the SS segment)

함수가 호출 되었을 때 ESP를 저장하고 있다가 함수 리턴 직전 ESP에 값을 전달 하여 스택 유지

ESI : source pointer for string operations

EDI : destination pointer for string operations

ESP : Stack Pointer (in the SS segment)

스택 메모리 주소(PUSH,POP,CALL,RET 등의 명령어가 직접조작)

Zero Flag(ZF) 연산 명령 후 값이 0이 되면 ZF가 1(True)로 세팅

Overflow Flag(OF) 부호 있는 수의 오버플로가 발생했을 때 1로 세팅 MSB(Most Significant Bit)가 변경 되었을 때 1로 세팅

Carry Flag(CF) 부호없는 수의 오버플로가 발생했을 때 1로 세팅

EIP : Instruction pointer CPUT가 처리할 명령어의 주소를 나타내는 레지스터 ㅈEIP에 저장된 메모리 주소의 명령어를 하나 처리하고 난 후 자동으로 그 명령어 길이 만큼 EIP를 증가 시킨다.

PUSH 스택에 값을 입력

CALL 지정된 주소의 함수를 호출

INC 값을 1증가

DEC 값을 1감소

JMP 지정된 주소로 점프

CMP 지정된 두개의 operand 비교 (동일 할경우 SUB결과는 0이고 ZF =1로 세팅됨)

JE 조건 분기(Jump if equal) JF =1이면 점프

RETN 스택에 저장된 복귀 조소로 점프

1. Code Window : 기본 적으로 disassembly code를 표시하여 각종 comment, label을 보여주고 code분석을 통하여loop,jump 위치등의 정보를 표시

2. Register Window : CPU register 값을 실시간으로 표시하며 특정 register들은 수정

3. Dump Window : 프로세스 에서 원하는 memory 주소 위치를 Hex와 ASCII/Unicode 값으로 표시/수정

4. Stack Window : ESP register가 가리키는 프로세스 stack memory를 실시간 표시/수정

​

​

control + F2 : 처음부터 다시시작

F7 : 다음 줄로 개행 (함수내부 따라 들어감)

F8 : 다음 줄로 개행 (함수내부 따라 들어가지 않음)

​F2 : BP ( BreakPoint)설정

​control + F9 : 함수,Loop 끝냄​ RETN 까지

control + G : Go to

Run : Break Point(BP)가 나올 때까지 실행

control + E : 에디터(데이터 편집)