Introduce Assembly language and view some demo and another projetcs on http://learn-tech-tips.blogspot.com/

2. MỤC TIÊU
Giúp các bạn có một cái nhìn tổng quan về
ngôn ngữ Assembly
Áp dụng một số phương pháp để phân tích
chương trình bằng tool Olly
Hiểu được phương pháp lấy BaseAddress
bằng tool Cheat Engine
Page 2

3. NỘI DUNG
• Giới thiệu màn hình
• Cấu hình chương trinh và cài đặt plugin cần thiết
• 5 cửa sổ chính
• Các cửa sổ khác
Giới thiệu tool Ollydbg v1.1
• Thanh ghi dữ liệu
• Thanh ghi con trỏ
• Cờ trạng thái
• Cú pháp hợp ngữ
• Các lệnh liên quan đến stack
• Các lệnh lưu trữ dữ liệu
• Các lệnh dùng cho tính toán
• Các lệnh logic
• Các lệnh so sánh
• Các lệnh nhảy có điều kiện, không điều kiện
Hợp ngữ - Assembly
• Bài 1 Debug search thông tin cần thiết
• Bài 2
• Reverse engine tìm CD.Key
• Code C++ demo
Chương trinh demo
• Giới thiệu màn hình
• Chương trình demo
• Code C++ demo
Hướng dẫn sử dụng tool Cheat Engine 6.2
Page 3

4. OLLYDBG V1.1

5. OLLYDBG V1.1 – Giới thiệu
 Ollydbg gọi tắt là Olly, là một chương trình dùng để
debug bộ nhớ dễ sử dụng, trực quan.
 Hiện nay đã có phiên bản 2.0, phiên bản này đang bị
lỗi font và định dạng
Page 5

6. OLLYDBG V1.1 – Cài đặt và cấu
hình Olly
 Download trên link: http://www.ollydbg.de/
 Appearance  Directories
UDD Path
Plugin Path
Page 6

7. OLLYDBG V1.1 – 5 cửa sổ Chính
 Màn hình chính của Olly chia thành 5 cửa sổ chính
(nhấn Tab/shift-Tab để chuyển đổi các cửa sổ với
nhau).
Page 7

8. OLLYDBG V1.1 – 5 cửa sổ chính
 The Disassembler window: xem code của chương trình ở dạng
ngôn ngữ ASM
 The Registers window: cửa sổ chứa thông tin chi tiết các
thanh ghi: EAX, EBX, ECX, EDX,… các cờ trạng thái
 The Dump window: xem dữ liệu bộ nhớ ở hai dạng hex và
ascii
 The Stack window: cho phép xem dữ liệu trước khi được thực
hiện phải được nạp vào stack.
 The Tip window: cho xem thông tin chi tiết về các dòng code.
Page 8

9. OLLYDBG V1.1 – Registers Window
 The Registers window
Page 9

10. OLLYDBG V1.1 – Stack Window
 The Stack window
 Nơi lưu trữ tạm thời các dữ liệu và địa chỉ
 Là cấu trúc dữ liệu một chiều (các phần tử được cất vào và lấy ra từ
một đầu của cấu trúc này)
 Cơ chế xử lý: LIFO (Last In First Out)
Page 10

11. OLLYDBG V1.1 – Dump Window
 The Dump window
 Cửa sổ hiện thị nội dung bộ nhớ hay file.
 Cho phép tìm kiếm cũng như thực hiện các chức năng chỉnh sửa, thiết
lập Break points
Page 11

12. OLLYDBG V1.1 – cửa sổ khác (1)
 Các cửa sổ khác
 L: mở cửa sổ log của Olly
 E: mở cửa sổ Executables, cửa sổ đưa ra danh sách những file có khả
năng thực thi được chương trình sử dụng như file exe, dlls, ocsx,…
 M: mở cửa sổ Memory, cho biết thông tin về bộ nhớ đang sử dụng bởi
chương trình.
 T: mở cửa sổ Thread, liệt kê các Threads của chương trình
 W: mở cửa sổ windows
 H: mở cửa sổ Handles
Page 12

13. OLLYDBG V1.1–cửa sổ khác (2)
 C: mở cửa sổ CPU.
 /: mở cửa sổ Patches, cửa sổ này sẽ cho chúng ta các thông tin về
những gì mà chúng ta đã edit trong chương trình
 K: mở cửa sổ call stack, hiển thị một danh sách các lệnh call mà
chương trình chúng ta thực hiện
 B: mở cửa sổ Break Points
 R: mở cửa sổ References, cửa sổ này là kết quả cho những gì chúng ta
thực hiện chức năng search trong Olly
Page 13

14. ASSEMBLY
LANGUAGE

15. ASSEMBLY – Thanh ghi dữ liệu (1)
 Thanh ghi dữ liệu (32 bit)
 EAX: thường sử dụng trong các lệnh số học và chuyển dữ liệu.
 EBX: thanh ghi địa chỉ, chỉ đến vị trí ô nhớ.
 ECX: xác định số lần lặp của một lệnh.
 EDX: lưu kết quả của phép “*” hoặt “/’.
 Thanh ghi dữ liệu (16 bit)
 AX = AH + AL (H: High; L: Low)
 BX = BH + BL
 CX = CH + CL
 DX = DH + DL
Page 15

16. ASSEMBLY – Thanh ghi dữ liệu (2)
 Ví dụ:
 EAX = 0x12345678H (32 bits)
 AH = 0x56H (8 bits)
 AX = 0x5678H
 AL = 0x78H (8 bits)
 Các thanh ghi khác cũng được phân tách tương tự như thanh
ghi EAX
Page 16

17. ASSEMBLY – Thanh ghi con trỏ
 Thanh ghi ESP
 Trỏ tới đỉnh hiện thời của ngăn xếp
 Thanh ghi EBP
 Truy xuất dữ liệu trong ngăn xếp
 Thanh ghi EIP
 Không bị tác động trực tiếp bởi các lệnh
 Cho biết địa chỉ của câu lệnh tiếp theo sẽ được thực hiện
Page 17

18. ASSEMBLY – Cờ trạng thái
 CF (Carry Flag): Cờ nhớ
– Bật khi phép tính vừa thực hiện có sử dụng bit nhớ
 AF (Auxiliary Carry Flag): cờ nhớ phụ
– Bật khi phép tính vừa thực hiện có sử dụng bit nhớ phụ
 PF (Parity Flag): Cờ chẵn lẻ
– Bật khi kết quả của phép tính vừa thực hiện có chẵn bit 1
 ZF (Zero Flag): Cờ Zero
– Bật khi kết quả của phép tính vừa thực hiện = 0
 SF (Sign Flag): Cờ dấu
– Bật khi kết quả của phép tính có bit cao nhất được bật
 OF (Overflow Flag): Cờ tràn
– Bật khi phép tính vừa thực hiện gây ra tràn số
Page 18

19. ASSEMBLY – Cú pháp
 Câu lệnh hợp ngữ có cú pháp sau:
Tên Toán hạng đích Toán hạng nguồn
 Ví dụ:
MOV EAX, 0x12;
MOV EAX, DWORD PTR [401000];
Page 19

20. ASSEMBLY–lệnh liên quan Stack (1)
 PUSH
– Dùng để cất / thêm dữ liệu vào trong ngăn xếp
– Ví dụ:
Page 20

21. ASSEMBLY–lệnh liên quan Stack (2)
 POP
– Lấy giá trị từ đỉnh stack vào một nơi mà chúng ta chỉ định để nhận giá trị
được lấy ra
– Ví dụ:
POP Eax; // lấy giá trị từ đỉnh stack và lưu nó vào thanh ghi EAX
Page 21

22. ASSEMBLY–lệnh lưu trữ dữ liệu (1)
 MOV
– Gán dữ liệu hay số vào thanh ghi bộ nhớ
– Ví dụ:
Page 22

23. ASSEMBLY–lệnh lưu trữ dữ liệu (2)
 MOVSX
– Thực hiện sao chép nội dung của toán hạng nguồn, có thể là thanh ghi
hay ô nhớ (với điều kiện toán hạng nguồn phải có độ dài nhỏ hơn toán
hạng đích) vào toán hạng đích đồng thời sẽ điền đầy các bit bên trái
bằng bít có trọng số cao nhất (số 1 hay F)
– Ví dụ:
Page 23

24. ASSEMBLY–lệnh lưu trữ dữ liệu (3)
 XCHG
– Trao đổi nội dung của hai toán hạng.
– Ví dụ:
Page 24

25. ASSEMBLY–lệnh lưu trữ dữ liệu (4)
 NOP
– Lệnh này không thực hiện một công việc gì cả ngoại trừ việc tăng nội
dung của thanh ghi EIP (không gây ra bất kỳ thay đổi nào trong thanh ghi,
stack hay memory).
– Dùng vào việc hủy bỏ bất kỳ câu lệnh nào
Page 25

26. ASSEMBLY–lệnh cho tính toán (1)
 INC
– Cộng thêm 1 vào nội dung của thanh ghi hay một ô nhớ
 DEC
– Trừ thêm 1 vào nội dung của thanh ghi hay một ô nhớ
– Ví dụ:
Page 26

27. ASSEMBLY–lệnh cho tính toán (2)
 ADD
– Lệnh này được sử dụng để cộng nội dung
Giữa hai thanh ghi,
Một thanh ghi và một ô nhớ
Cộng một số với một thanh ghi
Cộng một số với một ô nhớ
 Lệnh sau tương đương
 ADD EAX, 1 <==> INC EAX
Page 27

28. ASSEMBLY–lệnh cho tính toán (3)
 SUB
– Lệnh này được sử dụng để trừ hai nội dung
Giữa hai thanh ghi,
Một thanh ghi và một ô nhớ
Trừ một số với một thanh ghi
Trừ một số với một ô nhớ
 Lệnh sau tương đương
 SUB EAX, 1 <==> DEC EAX
Page 28

29. ASSEMBLY–lệnh cho tính toán (4)
 MUL
 Cú pháp: MUL Toán hạng gốc
– Nhân số không dấu, trong trường hợp này toán hạng gốc là số nhân. Tùy
theo độ dài của toán hạng gốc mà ta có ba trường hợp để tổ chức phép
nhân,
– Nếu gốc là số 8 bit: AL * Gốc
• Số bị nhân phải là số 8 bit để trong AL
• Kết quả sau khi nhân lưu trong : AX
– Nếu gốc là số 16 bit: AX * Gốc
• Số bị nhân phải là số 16 bit để trong AX
• Kết quả sau khi nhân lưu trong DX, AX
– Nếu gốc là số 32 bit: EAX * Gốc
• Số bị nhân phải là số 32 bit để trong EAX
• Kết quả sau khi nhân lưu trong EDX, EAX
Page 29

30. ASSEMBLY–lệnh cho tính toán (5)
– Ví dụ (MUL):
MUL ECX  thực hiện nhân ECX với EAX, kết quả sẽ được lưu vào EDX:EAX
 EAX: lưu trữ kết quả phép nhân
 EDX: lưu trữ phần dư
Page 30

31. ASSEMBLY–lệnh cho tính toán (6)
 IMUL
 Cú pháp: MUL Toán hạng gốc
– Nhân số có dấu, trong trường hợp này toán hạng gốc là số nhân. Tùy
theo độ dài của toán hạng gốc mà ta có ba trường hợp để tổ chức phép
nhân,
– Nếu gốc là số 8 bit: AL * Gốc
• Số bị nhân phải là số 8 bit để trong AL
• Kết quả sau khi nhân lưu trong : AX
– Nếu gốc là số 16 bit: AX * Gốc
• Số bị nhân phải là số 16 bit để trong AX
• Kết quả sau khi nhân lưu trong DX, AX
– Nếu gốc là số 32 bit: EAX * Gốc
• Số bị nhân phải là số 32 bit để trong EAX
• Kết quả sau khi nhân lưu trong EDX, EAX
Page 31

32. ASSEMBLY–lệnh dùng tính toán (7)
 DIV
 Cú pháp: DIV Toán hạng gốc
– Chia số không dấu, trong trường hợp này toán hạng gốc là số chia. Tùy
theo độ dài của toán hạng gốc mà ta có hai trường hợp để tổ chức phép
chia,
– Nếu số 16 bits chia cho gốc là số 8 bit: AX / Gốc
• Số dư lưu trong AH
• Thương lưu trong AL
– Nếu số 32 bits chia cho gốc là số 16 bit: EAX / Gốc
• Số dư lưu trong DX
• Thương lưu trong AX
Page 32

33. ASSEMBLY–lệnh dùng tính toán (8)
 IDIV
 Cú pháp: IDIV Toán hạng gốc
– Chia số có dấu, trong trường hợp này toán hạng gốc là số chia. Tùy theo
độ dài của toán hạng gốc mà ta có hai trường hợp để tổ chức phép chia,
– Nếu số 16 bits chia cho gốc là số 8 bit: AX / Gốc
• Số dư lưu trong AH
• Thương lưu trong AL
– Nếu số 32 bits chia cho gốc là số 16 bit: EAX / Gốc
• Số dư lưu trong DX
• Thương lưu trong AX
Page 33

34. ASSEMBLY–lệnh cho tính toán (9)
 XADD
– Thực hiện hai lệnh XCHG, ADD
 NEG
– Thực hiện bù hai của một toán hạng hay còn gọi là đảo dấu của một toán
hạng ( bù hai  đảo bit của toán hạng và cộng thêm 1)
– Ví dụ
Page 34

35. ASSEMBLY – Các lệnh logic
Page 35

36. ASSEMBLY – lệnh so sánh (1)
 CMP
– Cú pháp: CMP Toán hạng đich, Toán hạng nguồn
– Mục đích dùng để so sanh hai toán hạng với nhau
– Tác dụng chủ yếu lên cờ
– Bảng công thức
Page 36

37. ASSEMBLY – lệnh so sánh (2)
 TEST
– Cú pháp: TEST Toán hạng đich, Toán hạng nguồn
– Công thức
 Toán hạng nguồn = Toán hạng đích  ZF = 1
 Toán hạng nguồn khác toán hạng đích  ZF = 0
Page 37

38. ASSEMBLY – Các lệnh nhảy (1)
 Lệnh nhảy không điều kiện
– Cú pháp: JMP <Vị trí nhảy đến>
– Chương trình gặp lệnh này sẽ nhảy ngay lập tức
– Ví dụ:
• JMP [401000];
Page 38

39. ASSEMBLY – Các lệnh nhảy (2)
 Lệnh nhảy có điều kiện
Page 39

40. ASSEMBLY – Các lệnh nhảy (3)
Page 40

41. DEMO

42. OLLYDBG, DEMO – Bài 1
 Phân tích chương trình
Page 42

43. OLLYDBG, DEMO – Bài 2
 Phân tích chương trình
 Code C++ demo
Page 43

44. CHEAT ENGINE 6.2

45. CHEAT ENGINE 6.2 – Giới
thiệu Phân tích chương trình
 Code C++ demo
Page 45

46. Page 46