Assembly and static analysis

Question 1

Hvad er Assembly?

Answer 1

Det er et lavniveau-programmeringssprog, der direkte korresponderer med maskinens instruktioner

Question 2

Hvorfor bruger man Assembly når man vil konvertere C++ kode i REM?

Answer 2

Det gør man for at analysere koden og for at gøre det mere læseligt for os.

Question 3

Hvilke instruktioner er der i Assembly?

Answer 3

1. Data movement
2. Arithmetic
3. Logical
4. Control flow
5. Stack

Question 4

Hvad gør “Data movement” instruktionen?

Answer 4

Den flytter på dataen fra en lokation til en anden.
Eksempel –> mov

Question 5

Hvilke kommandoer er der i “Data move” instruktioner?

Answer 5

1. mov: move
2. ldr: load
3. str: store

Question 6

Hvad gør “Arithmetic” instruktionen?

Answer 6

Det udfører matematiske udregner mellem to operands.

Question 7

Hvilke kommandoer er der i “Arithmetic” instruktioner?

Answer 7

1. Add
2. Sub
3. Mul
4. Div

Question 8

Hvad gør “Logical” instruktionen?

Answer 8

Den sammenligner to binære værdier for at få et binært tal tilbage ud fra en logical operation.

Question 9

Hvilke kommandoer er der i “Logical” instruktioner?

Answer 9

1. And
2. Or
3. Xor
4. Not

Question 10

Hvad gør “Control flow” instruktionen?

Answer 10

Den bestemmer om vi springer frem eller tilbage i programmet ud fra betingelser.

Question 11

Hvilke kommandoer er der i “Control flow” instruktioner?

Answer 11

1. Jmp
2. Jnz
3. Jz
4. Call
5. Cmp

Question 12

Hvad gør “Stack” instruktionen?

Answer 12

Det er en hurtig måde at tilføje og hente data til og fra stacken.

Question 13

Hvilke kommandoer er der i stack instruktioner?

Answer 13

1. Push
2. Pop

Question 14

Hvad gør “push” instruktionen?

Answer 14

Det tilføjer en variabel til stacken og får den til at vokse for at gøre plads til mere.

Question 15

Hvad gør “pop” instruktionen?

Answer 15

Det fjerner en variabel fra stacken og formindsker den.

Question 16

Hvad er en lokal variable?

Answer 16

Det er en variabel der er defineret inden for en funktion eller scope.

Den er kun tilgængelig inden for sin egen funktion/scope og eksisterer midlertidigt under eksekvering.

Question 17

Hvad er et argument?

Answer 17

Det er en værdi eller et objekt overført til en funktion ved kald.

Bruges som input til funktionen.

Question 18

Hvad kan man bruge for finde ud af om de variabler der er gemt i “stack’en” er lokale variabler eller argumenter?

Answer 18

Man kan bruge ebp.

Question 19

Hvordan ser man forskel på en lokal variable og et argument i Assembly kode?

Question 20

Hvad er formålet med at kopiere esp til ebp i begyndelsen af et funktionskald i Assembly?

Answer 20

Formålet er at, ebp vil pege på, hvor esp var, før vi lavede plads til de lokale variabler.

Question 21

Nævn de 3 forskellige “Function calling conventions”.

Answer 21

1. Cdecl
2. Stdcall
3. Fastcall

Question 22

Hvad gør “Cdecl” som er den mest hyppig brugte funktionskald?

Answer 22

1. Argumenter placeres fra højre mod venstre i stakken med push- eller mov-kommandoer.
2. Return placeres i EAX-registret (ved at bruge PUSH).
3. Den er ansvarlig for at rydde op i stakken.

Question 23

Hvad gør “Stdcall”?

Answer 23

1. Bruges i Win32API.
2. Ligesom “cdecl”, men her er funktionen selv ansvarlig for at rydde op i stakken
3. I x64 fungerer Stdcall mere som Fastcall (bruger 4 registre til argumenter).

Question 24

Hvad gør “Fastcall”?

Answer 24

Generelt ligner den “stdcall”, men ecx og edx bruges til at gemme de første 2 argumenter, mens resten er gemt i stakken.

Question 25

Hvad er “Stacken”?

Answer 25

Det er en array-agtig datastruktur i hukommelsen som gemmer data midlertidigt fra funktions kald mens programmer eksekveres.

Question 26

Hvad gemmes i “Stacken”?

Answer 26

1. Lokale variabler
2. Funktions parametre
3. Retur adresser
4. Stack frame pointers
5. Mellemliggende resultater
6. Gemte registers

Question 27

Hvor starter “Stacken”?

Answer 27

The top of the stack.

Question 28

Hvor er den højeste adresse i “Stacken”?

Answer 28

The bottom of the stack.

Question 29

Hvor vokser “Stacken” imod?

Answer 29

Den laveste adresse.

Question 30

Hvad er en LIFO struktur?

Answer 30

1. Last in first out.
2. Det betyder at det sidste data bliver den første som bliver fjernet igen.

Question 31

Hvad er [esp], [ebp+8], [ebp-4] ?

Answer 31

Positioner.

Question 32

Forklar linje for linje hvad der sker her:
1. mov dword ptr [ebp-4], 3
2. mov eax, dword ptr [ebp-4]
3. mov dword ptr [ebp-8], eax

Answer 32

1. Værdien 3 bliver flyttet til positionen ebp-4
2. Værdien fra position ebp-4 bliver flyttet til eax register
3. Værdien fra eax rigister bliver flyttet til position ebp-8

Question 33

Hvad er esp?

Answer 33

1. Extended Stack Pointer.
2. Der er et register, der peger mod toppen af stakken og holder styr på, hvor nye værdier skubbes eller poppes

Question 34

Hvad er eip?

Answer 34

1. Extended Instruction Pointer.
2. Det er et register, der indeholder hukommelsesadressen for den næste instruktion, der skal udføres.

Question 35

Hvad er static analysis?

Answer 35

?