逆向工程教程:深入理解Windows x64调用约定

原创 于 2025-06-08 09:02:13 发布 · 1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

逆向工程教程:深入理解Windows x64调用约定

前言

在逆向工程和底层程序分析中,理解函数调用约定(Calling Convention)是至关重要的基础知识。本文将深入探讨Windows x64平台下的fastcall调用约定,并简要介绍cdecl约定,帮助读者掌握函数调用时的参数传递、寄存器使用和栈操作等核心概念。

什么是调用约定

调用约定定义了函数调用时的一系列规则,包括:

  • 参数如何传递(通过寄存器还是栈)
  • 参数传递的顺序(从左到右还是从右到左)
  • 谁负责清理栈空间(调用者还是被调用者)
  • 返回值如何传递
  • 哪些寄存器需要保存

在Windows x64环境中,默认使用fastcall调用约定,这也是我们重点讲解的内容。

Windows x64 fastcall详解

参数传递规则

  1. 前四个非浮点参数:通过RCX、RDX、R8和R9寄存器传递
  2. 前四个浮点参数:通过XMM0、XMM1、XMM2和XMM3寄存器传递
  3. 额外参数:通过栈传递,从右向左压栈
  4. 大参数处理:如果参数太大无法放入寄存器,则通过引用传递

重要特性

  • 预留空间(Reserved Space):即使参数通过寄存器传递,调用者也必须在栈上为前四个参数预留空间(共32字节)
  • 返回值:整数类型通过RAX返回,浮点类型通过XMM0返回
  • this指针:对于成员函数,this指针作为隐含的第一个参数通过RCX传递
  • 寄存器易失性
    • 易失寄存器(Volatile):RAX、RCX、RDX、R8、R9、R10、R11(函数调用后值可能改变)
    • 非易失寄存器(Non-volatile):RBX、RBP、RDI、RSI、RSP、R12-R15(函数必须保存和恢复)

栈布局分析

理解栈布局对逆向工程至关重要:

  1. 1-4个参数

    • 参数通过寄存器传递
    • 栈上预留32字节预留空间(RSP+0x00到RSP+0x18)

  2. 超过4个参数

    • 前四个通过寄存器传递
    • 第五个参数从RSP+0x20开始
    • 第六个参数在RSP+0x28,依此类推

实际示例分析

考虑以下汇编代码片段:

MOV DWORD PTR SS:[RSP + 0x38], 0x8  ; 第8个参数
MOV DWORD PTR SS:[RSP + 0x30], 0x7  ; 第7个参数
MOV DWORD PTR SS:[RSP + 0x28], 0x6  ; 第6个参数
MOV DWORD PTR SS:[RSP + 0x20], 0x5  ; 第5个参数
MOV R9D, 0x4                        ; 第4个参数
MOV R8D, 0x3                        ; 第3个参数
MOV EDX, 0x2                        ; 第2个参数
MOV ECX, 0x1                        ; 第1个参数
CALL function

这段代码清晰地展示了:

  1. 前四个参数通过ECX、EDX、R8D和R9D传递
  2. 额外参数从RSP+0x20开始依次放置
  3. 参数按从右向左的顺序初始化

cdecl调用约定简介

虽然Windows x64主要使用fastcall,但了解cdecl约定也很重要:

  1. 参数传递:全部通过栈传递,从右向左压栈
  2. 栈清理:由调用者负责清理栈空间
  3. 返回值:通过EAX传递
  4. 特点:支持可变参数函数(如printf)

逆向工程实践建议

  1. 识别调用约定:通过参数传递方式和栈操作识别使用的调用约定
  2. 分析参数:注意寄存器使用和栈布局来推断参数数量和类型
  3. 关注预留空间:在x64逆向中,预留空间的使用是重要特征
  4. 寄存器保存:注意非易失寄存器的保存和恢复操作

总结

掌握调用约定是逆向工程的基础技能。Windows x64的fastcall约定通过寄存器高效传递参数,同时保持与栈的兼容性。理解这些规则可以帮助我们:

  • 准确分析函数调用
  • 推断函数原型
  • 理解程序的控制流和数据流

建议读者通过实际逆向练习来巩固这些概念,观察不同情况下编译器的代码生成模式,这将大大提升你的逆向分析能力。

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

X64平台调用约定
收集学习过程中对自己有帮助的牛人文章
03-07 1232
X64平台采用类似__fastcall的调用约定 函数的前四个参数(整数或者浮点)分别放在 rcx、rdx、r8、r9 里(r8b 是一个新增加的寄存器,长度为 1 字节,是 r8 的低 8 位, 同理r8d),从第五个参数开始放在堆栈里 RCX: 1st integer argument RDX: 2nd integer argument R8: 3rd intege
X64调用约定
xiaotan3664的博客
02-02 538
X64调用约定 先说结论: 汇编中函数调用前要传递的参数从右到左依次设置 函数从左到右的整型或指针参数依次用 edi, esi, edx, ecx, r8d, r9d, 堆栈保存,最多6个整型参数可以通过寄存器传递 函数从左到右的浮点参数依次用xmm0, xmm1, xmm2, …, 保存 混合类型参数分类型分别按2,3规则传递 函数返回值整型用rax或eax传递,浮点类型用xmm0传递 原始代码 #include<iostream> #include<string> int
X64调用约定
qq_41490873的博客
09-29 2373
fastcall 在64位下只有一种调用约定,类似于fastcall,要写其他的也不会出错,这主要是为了兼容以前定义的32的头文件。 前4个参数使用 rcx rdx r8 r9传递 写一个没有参数没有返回值的函数反汇编如下,可以看出不再像32位一样push ebp mov ebp,esp. 而是只保存了rdi就推出了。 1个参数 一个参数的情况下采用ecx传参 参数大于32位采用rcx传参 函数里面把参数复制到了rsp+8 4个参数的情况 参数采用ecx,edx,r8d,r9d 参数大于32位采
x64汇编fastcall调用约定
WolvenSec的博客
06-14 1869
x64汇编环境:只需要在x86基础上对项目属性进行设置,将平台设置为所有平台;以及在将debug改为x64模式即可:后续写完代码直接生成项目再使用本地调试器进行运行即可。
windows内核开发学习笔记五十:x64调用协定
jyl_sh的专栏
08-06 1589
本篇文章描述x64代码中一个函数(调用方)用来调用另一个函数(被调用方)的标准流程和约定调用约定违约 x64应用程序二进制接口(ABI)默认使用四个寄存器的快速调用约定。在调用堆栈上分配空间作为一个影子存储,供调用者保存这些寄存器。 在函数调用的参数和用于这些参数的寄存器之间有严格的一对一对应关系。任何不适合8字节的参数,或者不是1、2、4或8字节的参数,都必须通过引用传递。一个参数永远不会分布在多个寄存器上。 x87寄存器堆栈未被使用。被调用方可能会使用它,但是在函数调用中它是vo
常见函数调用约定(x86、x64、arm、arm64)
ayang1986的专栏
05-09 975
常见函数调用约定(x86、x64、arm、arm64)
Windows X64汇编基础教程:从入门到实践
通过深入学习和实践Windows X64汇编,开发者和安全研究人员能够更好地理解和分析64位系统的底层操作,这对于系统编程、逆向工程、安全审计等领域都极其重要。学习过程中,可以参考看雪安全论坛等专业社区的资源,...
深入理解Windows下的x86/x64内联钩子技术
比如,x64架构的函数调用约定、寄存器使用等可能与x86不同,因此在实现内联钩子时需要对不同的架构编写不同的代码。 ### Windows平台的钩子实现 Windows操作系统提供了多种API函数和接口来实现钩子,例如...
逆向工程师必备:
![逆向工程师必备:]... ...# 1. 逆向工程概述 ## 1.1 逆向工程简介 逆向工程是一种分析技术,通过分析产品的物理结构或源代码来推断其设计原理、功能和实现
汇编代码注入器,支持x64和x86
04-04
3. API调用约定x64使用“fastcall”约定,前四个参数通过寄存器传递,其余通过堆栈传递。 四、内核模式代码注入 内核模式代码注入是指在操作系统内核层面上进行的代码注入,通常涉及到驱动程序的编写。相比于...
Windows X64汇编与API交互:专家级系统调用指南
本文深入探讨了Windows X64汇编语言的基础知识、与Windows API的交互机制、系统调用的实现、错误处理与调试技术以及现代软件开发中的应用。首先介绍了Windows X64汇编的基础概念和环境设置,随后逐步深入到系统调用...
win32/win64调用约定总结
12-27
Non-volatile, general-purpose registers C++ Win32 EBP, EBX, ESI, EDI C++ Win64 BP, RBX, RSI, RDI, R12-R15 Volatile, general-purpose registers C++ Win32 EAX, ECX, EDX C++ Win64 AX, RCX, RDX, R8-R11 ...
逆向基础(一)--- 函数调用协议汇总X86/X64/ARM/ARM64
热门推荐
移动(IoT)安全
07-16 1万+
X86 函数调用约定 函数调用协议会影响函数参数的入栈方式、栈内数据的清除方式、编译器函数名的修饰规则。如下图所示,可以在IDE环境中设定所有函数默认的调用协议,还可以在函数定义时单独设定本函数的调用协议。 调用协议常用场合 __stdcall:Windows API默认的函数调用协议。 __cdecl:C/C++默认的函数调用协议。 __fastcall:适用于对性能要求较高的场合。 函数参数入栈方式 __stdcall:函数参数由右向左入栈。 __cdecl:函数参数由右向左入栈。
windows x64 调用约定
xkdlzy的专栏
09-29 700
Windows _WIN64 x64 调用约定 ABI C/C++ 汇编
Windows/Linux x64汇编函数调用约定
随手写下笔记和感悟
10-15 322
x86:又名 x32 ,表示 Intel x86 架构,即 Intel 的 32位 80386 汇编指令集。x64:表示 AMD64 和 Intel 的 EM64T ,而不包括 IA64。至于三者间的区别,可自行搜索。x64 跟 x86 相比寄存器的变化,如图:从图上可以看到,X64架构相对于X86架构的主要变化,是将原来所有的寄存器都扩大了一倍,例如EAX现在扩充成RAX,同时,又新增加了从R8~R15这8个64位的寄位器,有点RISC的味道(RISC特点就是寄存器多)。
Windows逆向工程入门之MASM x64架构与调用约定实战指南
最新发布
0xCC说逆向
03-05 1193
【代码】Windows逆向工程入门之MASM x64架构与调用约定实战指南。
(转)x64汇编第三讲,64位调用约定与函数传参
m0_38107106的博客
05-24 671
目录。
汇编语言与x64函数参数传递
Web安全工具库
04-20 1066
x64架构下,通过寄存器传递函数参数而不是通过堆栈,这种方法显著提高了函数调用的效率。微软和System V的调用约定虽然在参数传递的寄存器上有所区别,但都利用了寄存器来提供更快的参数访问和处理速度。以上的代码示例提供了在x64位环境下如何使用汇编语言进行函数参数传递的基础知识。在实际编程中,确保根据你的操作系统和工具选择正确的调用约定是至关重要的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

邢璋顺Blair

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值