人工构造 ascode

CrLf

参考ascode 的一些资料汇编一贴中汇总的帖子内容，其实在 debug 里逐步跟踪就能了解如何具体实现了，只是很累罢了。
其实我也只是掌握了基本思路，水平不高，现分享一些心得以供参考，或有疏漏敬请指正。
手头最好有 win7 自带的计算器，xp 可用 Megatops BinCalc 替补，以便进行 16to10、10to16、xor、sub、and 等运算。
----------------------------------------------------------------------------------
首先来了解下可以用到的指令，我构造了一个测试文本（内容为 00 '&&&&' 01 '&&&&' 02 '&&&&' 依此类推...），反汇编观察到分布在 20~7F 范围内可用的 ascode 指令大致有（此处由 email10t 在本贴 26 楼补充）：

*:  and sub xor cmp j*  daa das aaa  inc dec  push pop pusha popa imul insb insw outsb outsw
复制代码

emu8086 不能直接使用 insb insw outsb outsw,需要 db (define byte)
ascode 不能直接使用 jnle 指令
----------------------------------------------------------------------------------
结合自己的经验，简单解释下：

*: 表示所有数据段前缀，例如 ES: 和 DS:
j* 表示短距离的条件跳转，例如 jz 和 jnz
and 和 cmp 只支持对寄存器和地址的运算比较，不支持寄存器之间的直接运算
sub 和 xor 支持对 ax、al 的所有操作，对 dx 等其他寄存器操作时有时需要使用不可见字符
dec 和 inc 可用于整个操作任何寄存器，若只操作高位或低位则需不可见字符
push 和 pop 对大部分寄存器操作的指令都为可见字符，对段寄存器和标志位操作时除外
复制代码

事实上，有些特殊内容是可以硬凑出来的，比如中括号内的内容【@ECHO  OFF&REM  】其实也可以直接写入到 com 中执行，只是这基本实现不了什么功能，只能作为另一种嵌入文本的思路罢了。

我们发现，汇编时常用的 mov、int、add、ret、jmp 等命令在这里都不能直接使用，j*条件跳转、cmp 等也颇受限制。
但是要感谢机器语言的发明者和 ascii 标准的制定者没有赶尽杀绝，反汇编前辈们的 ascode 可以略窥一二，下面就简单介绍下如何用有限的指令实现所有指令的功能，试举有代表性的几例，其他指令的实现请自行举一反三：

指令	达到类似效果的 ascode
mov ax,bx	push bx pop ax
mov al,15	若 ax=0，可以： xor al,35 xor al,20 若 ax=60，则可以： sub al,4e
add al,32	sub al,60 sub al,6e
mov ah,15	参考前文 假设 ah 为 0，则可： xor ax,3520 xor ax,2020
mov ax,0	假设 bx=0（其他为 0 的寄存器也可），那是最方便的了： push bx pop ax 假设 di+bp=c0 且 cs=ds，则可以从内存中获取： and ax,[di+bp+3f]
int 21 （这个内容比较重要， 如 jmp、loop 等以及 其他无法直接实现的指令 都可以用这种办法解决）	假设 ax=0（默认），且 xor al,60 位置位于 ds:100，则可： xor al,60 ;见前文，等于 mov ax,60 push ax push ax pop di pop bp ;见前文，等于 mov di,ax 以及 mov bp,ax sub [di+bp+49],al ;di+bp+49=109，即 db 2d 位置，2d-al=2d-60，运算后该地址值变为 cd db 2d 21 ;int 21 的机器码为 cd 21，这里用 2d 占位，执行上一条指令后这里会变为 int 21

CrLf

附上 demon 大师的博文链接：ASCII Assembly技术简介
可惜那个“下面的网站总结了每个可打印的ASCII字符所对应的汇编指令”的链接失效了，印象中内容很详尽，当时直接导致我放弃更新此贴
---------------------------------------------------------------------
本站站内搜索 ascode 和 ascii assembly 得到这些相关帖子链接：
输入密码但不显示既隐藏输入密码的批处理（20090420）
屏蔽命令行密码 5楼
小型二进制文件ASCII编码器
【挑战】批处理如何创建仅含一个nul字符的文件 14楼
批处理与其他语言混合编程2
[方案汇总]批处理隐藏运行的11种思路（2009-04-18）
怎样让屏显的结果的同时写入到到文件中？
文本转URL编码
批处理用set代替choice怎么写？
求一段识别文件类型的BAT代码，也就是判断后缀名
批处理中 回车键的问题
[挑战]如何不换行输出以等号或引号开头的行？ 14楼
只1k的延迟程序：sleep.com
ascode 的一些资料汇编
ascode 的 encode/decode 算法
ascode 的 encode/decode 算法2
ascode 应用之 仿控制台全屏效果 full.com
ascode 应用之 获取输入字符 getch.com
ascode 应用之 获取输入字符 getc.com
ascode 应用之 不换行显示字符串 put.com
ascode 应用之 将光标移动到指定位置 xy.com
ascode 应用之 存取文件 encode.com/decode.com
ascode 应用之 界面神器syxq便携版 syxq.com (Portable)

CrLf

贴一下以前测试得出的一点成果，其实顶楼已经提到了，只是比较概括
ascode可用指令大概有这些：

*:  and sub xor cmp j*  daa das aaa  inc dec  push pop pusha popa imul insb insw outsb outsw
复制代码

可见字符和控制字符中的少数字符对应的指令是可以用于初始的 ascode 的，请见下表（这个结果是碰撞所得，可能不完整，但表中列出的应该都能用）

控制字符：

00-05	add *
06	push es
07	pop es
08-0d	or *
0e	push cs
0f	无
10-15	adc *
16	push ss
17	pop ss
18-1d	sbb *
1e	push ds
1f	pop ds
复制代码

可见字符：

20-25	and *
26	es:
27	daa
28-2d	sub *
2e	cs:
2f	das
30-35	xor *
36	ss:
37	aaa
38-3d	cmp [*],*
3e	ds:
3f	aas
40	inc ax
41	inc cx
42	inc dx
43	inc bx
44	inc sp
45	inc bp
46	inc si
47	inc di
48	dec ax
49	dec cx
4a	dec dx
4b	dec bx
4c	dec sp
4d	dec bp
4e	dec si
4f	dec di
50	push ax
51	push cx
52	push dx
53	push bx
54	push sp
55	push bp
56	push si
57	push di
58	pop ax
59	pop cx
5a	pop dx
5b	pop bx
5c	pop sp
5d	pop bp
5e	pop si
5f	pop di

/********
区间 60~6f 由 email10t 在本贴 16 楼补充
区间 62、63、66、67 由 sj157250 在本贴 34 楼继续补充
debug 无法正常汇编/反汇编这部分的指令，但可以正常运行

60	pusha
61	popa
62	BOUND
63	ARPL Ew,Rw
64	fs:
65	gs:
66	push dword * | Operand Size Prefix
67	imul dword * | Address Size Prefix
68	push word *
69	imul word *
6a	push byte *
6b	imul byte *
6c	insb
6d	insw
6e	outsb
6f	outsw
区间结束
**********/

70	jo
71	jno
72	jb
73	jnb
74	jz
75	jnz
76	jbe
77	ja
78	js
79	jns
7a	jpe
7b	jpo
7c	jl
7d	jge
7e	jle
7f	jg
复制代码

不可见字符：

80-83	and word ptr *
84-85	test *
86-87	xchg *
88-8c	mov *
8d	lea *
8e	mov
8f	pop [*]
8f	pop [*]
90	nop
91-97	xchg *
98	cbw
99	cwd
9a	call
9b	wait
9c	pushf
9d	popf
9e	sahf
9f	lahf
a0-a3	mov *
a4	movsb
a5	movsw
a6	cmpsb
a7	cmpsw
a8-a9	test *
aa	stosb
ab	stosw
ac	lodsb
ad	lodsw
ae	scasb
af	scasw
b0-bf	mov *
c0-c1	无
c2	ret *
c3	ret
c4	les *
c5	lds *
c6-c7	mov *
c8-c9	无
ca	retf *
cb	retf
cc	int 3
cd	int *
ce	into
cf	iret
d0-d3	shl *  (d0 ror;d2 rol)
d4	aam *
d5	aad
d6	无
d7	xlat
d8	fsub dword ptr *
d9	fldenv *
da	fisub dword ptr *
db	esc *
dc	fsub qword ptr *
dd	frstor *
de	fisub word ptr *
df	fbld tbyte ptr *
e0	loopnz *
e1	loopz *
e2	loop *
e3	jcxz
e4-e5	in *
e6-e7	out *
e8	call *
e9-eb	jmp *
ec-ed	in *
ee-ef	out *
f0	lock
f1	无
f2	repnz
f3	repz
f4	hlt
f5	cmc
f6	mul byte ptr *
f7	mul word ptr *
f8	clc
f9	stc
fa	cli
fb	sti
fc	cld
fd	std
fe-ff	jmp [*]
复制代码

x86 的部分指令列表参见 pcl_test 在 35 楼的回帖

CrLf

前文提到的 "@ECHO  OFF&REM" 反汇编的结果是这样：

inc ax
inc bp
inc bx
dec ax
dec di
and [bx+si],ah
dec di
inc si
inc si
es:
push dx
inc bp
dec bp
and [bx+si],ah
复制代码

这是个特例，而且也没有太大的实际作用
如果不对代码段的内存内容进行篡改，那连 int 指令都用不了，基本上干不了什么事
所以构造 ascode 的基本思路是用可见字符对应的指令修改即将后续执行的代码段内存，将其拼凑出 ascode 中本不存在的真实的机器码

CrLf

来个构思详解：
---------------------------------------------------------------------------
臭不要脸地以自己的帖子为例（掩面）：
ascode 应用之 获取输入字符 getc.com
---------------------------------------------------------------------------
在这个 getc.com 中，我最终要实现的功能是：

mov ah,1
int 21
ret
复制代码

其机器码为：

B4 01 CD 21 C3
复制代码

一看就知道除了 21 (asc="!") 之外，其他四个字节都不是可见字符，那肿么办呢？表急，让我静下来想一想...
---------------------------------------------------------------------------
1、
嗯，mov ah,1 用很多命令都能实现，因为 ax 的初始状态是 0000，所以...
比较快的办法是用 xor：

xor ax,3130
xor ax,3030
复制代码

只用 sub 也可以：

sub ax,6060
sub ax,6060
sub ax,3f40
复制代码

可以再无聊点：

inc ax
inc ax
inc ax
... ;加256次
复制代码

因为最终需求是 ax=0100，所以这个特殊结果也可以取巧用 xor+aaa 实现：

xor al,2a
aaa
复制代码

引申一下，其实最无耻莫过于：

push si
pop ax
复制代码

为什么可以这样，这是因为执行十六位程序的时候，寄存器是有初始状态的，实际是这样的（DX=段寄存器，这几个是会变的，其他均恒定）：

AX=0000  BX=0000  CX=00FF  DX=0E1C   SP=FFFE  BP=091E  SI=0100  DI=FFFE
DS=0E1C  ES=0E1C  SS=0E1C  CS=0E1C   IP=0100  NV UP EI PL NZ NA PO NC  TF=0
复制代码

要注意的是，实际执行十六位程序时的寄存器初始状态和在 debug 中表现的不太一样，debug 调试的时候是这样的：

AX=0000  BX=0000  CX=0000  DX=0000  SP=FFEE  BP=0000  SI=0000  DI=0000
DS=13CC  ES=13CC  SS=13CC  CS=13CC  IP=0100   NV UP EI PL NZ NA PO NC
复制代码

这！很！重！要！
如果你的程序不需要操作 cx、dx、sp、bp、si、di 寄存器，那好吧，其实这个知不知道也无所谓了
---------------------------------------------------------------------------
2、
我们已经知道 mov ah,1 不一定要用 mov 实现，那 int 21 和 ret 呢？
貌似没有太直接的办法来代替它们，或者说即使有替代方案，指令也比较长，得不偿失
所以，重点就是怎么在代码段构建出 int 21 和 ret
---------------------------------------------------------------------------
3、
在我的构思中，代码的前半段都是在倒腾寄存器和内存，执行到最后会碰到生成的 int 21 和 ret
为了简化实现过程，在代码末尾附加了三个字节 33 21 3D，这样只需要对 33 和 3D 所在的内存位置做两次 xor [Addr],ff 就能把它变成 CD 21 C3，然后对 0xff 做一次 inc，就能得到梦寐以求的 0x0100
现在实现的关键就在于怎么得到 0xff 和怎么定位内存地址
地址可以通过 [(存储偏移地址的寄存器)+(一个可见字符对应的机器码)] 来定位，所以定位地址的问题就转化成怎么得到偏移地址的问题
至于 0xff...呵呵，这能叫障碍吗？
---------------------------------------------------------------------------
4、
因为 ax 是一定需要改变的，所以我决定把这两个辅助性的数值都放在 ax 寄存器中倒腾
首先取得偏移地址，因为 [(存储偏移地址的寄存器)+(一个可见字符对应的机器码)] 的值得大于 0x100，所以寄存器里的值一定要大于 0x80，考虑到解码部分的长度和可见字符的范围限制，它理想的范围是 0xa0~0xe0 之间，这个用 sub 指令可以轻松做到
将它存入 di 寄存器后，我们再来取得 0xff，通过前文的介绍，你一定知道怎么做
---------------------------------------------------------------------------
5、
万事俱备，只需要用取得的偏移地址+特定的偏移量定位内存地址，对我们希望是 int 21 和 ret 的地方做一次与 0xff 的 xor 运算即可
---------------------------------------------------------------------------
6、
做完运算后，已经得到了 int 21 和 ret，对值为 0xff 的 ax 寄存器做一次 inc 运算，效果等价于 mov ax,0100，表明即将调用的是 1 号功能
然后就是 int 21，调用 21 号中断
再然后是 ret，跳转到 CS:0000 地址处，调用 int 20 结束程序
---------------------------------------------------------------------------
7、
根据需求作一些微调，可避免出现特殊字符 < > " & | 等
---------------------------------------------------------------------------
来看最终成果：

,RP_4P0E`0Eb@@3!=
复制代码

它在 debug 里反汇编的结果是：

段地址:偏移地址 机器码     对应的汇编指令
13CC:0100 2C52          SUB     AL,52
13CC:0102 50            PUSH    AX
13CC:0103 5F            POP     DI
13CC:0104 3450          XOR     AL,50
13CC:0106 304560        XOR     [DI+60],AL
13CC:0109 304562        XOR     [DI+62],AL
13CC:010C 40            INC     AX
13CC:010D 40            INC     AX
13CC:010E 3321          XOR     SP,[BX+DI]
13CC:0110 3D0000        CMP     AX,0000
复制代码

运行一下试试，唔，效果不错，收工回家
---------------------------------------------------------------------------
仔细想了想其实可以简化成这样：

VX0L[Tab字符]..瓮廾
实际使用时请吧 [Tab字符] 替换成一个 Tab 字符
复制代码

应用了引申4、引申5 和 2 楼列表中的结论和构想，因为含有 ansi 宽字符，所以精简版仅能在 936 代码页下生成正确的脚本
原先的 ascode 长 17 个字节，化简后长度为 11 个字节，而最原始的汇编原型为 5 个字节，看起来是精简到极致了，为什么这么短呢...我就不解释了，请自行研究吧

CrLf

引申1：
除了通过 echo 输出到临时文件，还有一种办法是：
构造一个以 : 开头的 ascode，然后放在脚本头部，然后 copy %0 ascode.com 就行了
为什么能用 :，查 3 楼给出的列表得知它对应的是 cmp 指令，所以其实不限于 :，只要能找出汇编花指令对应的批处理合法语句都能这么做，比如前文提到的 @ECHO  OFF&REM  也可以改造成能够可用的批处理/ascode 混编脚本

CrLf

引申2：
ascode 的效率其实不高，16 位程序在 32 位系统里是用 ntvdm.exe 模拟 16 位环境来运行的，它的效率远没有 32 位程序快
到 64 位系统，windows 已经不对 16 位程序提供支持了，所以这个技术貌似是快走到尽头了
事实上，我觉得随着 powershell 的普及，ascode 的存在意义也不是那么大了，虽然 .ps1 脚本默认不能直接运行，但却可以在 cmd 中把 powershell 当外部命令用，这就涵盖了 ascode 能实现的不少功能

CrLf

引申3：
人工构造 ascode 比较费劲，需要边写边推算运行时的变化，如果有跳转或者长度超出预期就更复杂了
所以产生了一些算法来自动构造 ascode，个人觉得，最直观的思路应该是类似于加壳/脱壳，将机器码以特定的形式保存成可见字符，使用时再用头部的解释器把它翻译回来，代价是生成的 ascode 必须附加解释器部分，对小程序来说，解释器会比程序原始长度还长很多
我想过去应该还有另一种实现方式：为所有可能的汇编指令做出一个等价的模板，将实际指令逐条处理为模板中的格式，这样得到的结果比较接近于人工构造，但大概只适合小程序，碰到体积原本就不小的程序会膨胀得厉害，相比于加壳/脱壳方案更容易超过 64K 的程序大小限制
---------------------------------------------------------------------------
继续臭不要脸地给出本人拙作作为例子，此例就是加壳/脱壳式的思路：
ascode 的 encode/decode 算法2
还有此贴中 qzwqzw 大神给出的许多外文资料：
http://bbs.bathome.net/redirect. ... 1&fromuid=30406

CrLf

引申4：
关于控制字符的特例：
水平制表符(0x09 Tab)、回车符(0x0a Cr)、换行符(0x0d Lf) 对绝大多数数编辑器来说是可见而有实际意义的，所以也可考虑用于 ascode，查表知道它们对应的是一些 or 指令
关于不可见字符的特例：
如果不考虑歪国人的使用环境，不可见字符在 gb2312 编码也不是完全不可见，只要你能组成汉字或者中文标点之类合法的宽字符，同样能把大于 0x7f 的字符用在 ascode 里，这样就能大大简化转换的过程

CrLf

引申5：
因为寄存器有初始状态，cx=00ff  bp=091e  si=0100  sp=di=fffe（非Debug环境），所以：
如果要改变的内存地址在 0x120~0x17f 之间，就可以直接用 [si+N] 指向特定位置
0xff 也不需要辗转取得了，cl 初始值就是了，比较高效的办法是用 di 代替 cl，用 xor [Addr],di 一次修改两个相邻字节
---------------------------------------------------------------------
附上 寄存器状态显示.bat，关于实际运行时寄存器初始状态的结论就是用这个得到的

@echo off&setlocal enabledelayedexpansion
set com=vr.com
cd .>!com!
more +19 %0|debug !com!>nul
for /f "tokens=1-14" %%a in ('!com!') do (
	set /a "F=0x%%n,CF=F&1,PF=(F>>2)&1,AF=(F>>4)&1,ZF=(F>>6)&1"
	set /a "SF=(F>>7)&1,TF=(F>>8)&1,IF=(F>>9)&1,DF=(F>>10)&1,OF=(F>>11)&1"
	for %%A in (
		CF-CY-NC PF-PE-PO AF-AC-NA ZF-ZR-NZ SF-NG-PL IF-EI-DI DF-DN-UP OF-OV-NV
	) do (
		for /f "tokens=1-3 delims=-" %%B in ("%%A") do (
			if !%%B!==1 (set %%B=%%C) else set %%B=%%D
		)
	)
	echo AX=%%a  BX=%%b  CX=%%c  DX=%%d   SP=%%e  BP=%%f  SI=%%g  DI=%%h
	echo DS=%%i  ES=%%j  SS=%%k  CS=%%l   IP=%%m  !OF! !DF! !IF! !SF! !ZF! !AF! !PF! !CF!  TF=!TF!
)
del !com!>nul&pause&exit/b

rds
1000
rcs
1000
eds:100 eb 37 50 b8 0 2 51 b9 10 0 83 e9 4 52 d3 ca
eds:110 81 e2 f 0 80 fa a 72 3 80 c2 7 80 c2 30 cd
eds:120 21 5a 41 e2 e5 59 52 b8 0 2 ba 20 0 cd 21 58
eds:130 5a c3 5a 52 83 ea 7e eb c9 9c 8f 6 0 2 52 89
eds:140 c2 e8 be ff 89 da e8 b9 ff 89 ca e8 b4 ff 5a e8
eds:150 b0 ff 89 e2 e8 ab ff 50 89 ea e8 a5 ff 89 f2 e8
eds:160 a0 ff 89 fa e8 9b ff 8c da e8 96 ff 8c c2 e8 91
eds:170 ff 8c d2 e8 8c ff 8c ca e8 87 ff e8 b4 ff 8b 16
eds:180 0 2 e8 7d ff cd 20
rcx
87
w
q


原型：
jmp 139; main;;;;
push ax ;fun
mov ax,200
push cx
mov cx,10
sub cx,4   ;view
push dx
ror dx,cl
and dx,f
cmp dl,a
jb 11c   ;next;;; don't add 7
add dl,7
add dl,30;------
int 21
pop dx
inc cx
loop 10a; view;;;
pop cx
push dx
mov ax,200
mov dx,20
int 21
pop ax
pop dx
ret;;;end fun
pop dx
push dx
sub dx,7e
jmp 102; fun;;;
pushf   ;main
pop [200]
push dx
mov dx,ax
call 102;fun;;;
mov dx,bx
call 102;fun;;;
mov dx,cx
call 102;fun;;;
pop dx
call 102;fun;;;
mov dx,sp
call 102;fun;;;
push ax
mov dx,bp
call 102;fun;;;
mov dx,si
call 102;fun;;;
mov dx,di
call 102;fun;;;
mov dx,ds
call 102;fun;;;
mov dx,es
call 102;fun;;;
mov dx,ss
call 102;fun;;;
mov dx,cs
call 102;fun;;;
call 132;rip
mov dx,[200]
call 102;fun;;;
int 20
复制代码

email10t

来个构思详解：
---------------------------------------------------------------------------
臭不要脸 ...
CrLf 发表于 2014-11-23 00:25

   
只用 sub 也可以：

sub ax,6060
sub ax,6060
sub ax,3e40
复制代码

可以再无聊点：

inc ax
inc ax
inc ax
... ;加256次
复制代码

CrLf

回复 11# email10t


    脑子没转过来，忘了进制的区别。已修改，感谢指正~

email10t

参考一贴中汇总的帖子内容，其实在 debug 里逐步跟踪就能了解如何具体实现了，只是很累罢了。
其实我也只是 ...
CrLf 发表于 2013-1-21 20:02

,5Pj!]_jTX(C!!!
复制代码

CrLf

回复 13# email10t


用 debug 跑了一下，看明白了构思，但不懂 DB      6A 是起什么作用的...记得之前跟踪 Herbert Kleebauer 的方案也有多处这样的字节，一直不知道是用来干嘛的

运行后的反汇编结果

SUB     AL,35
PUSH    AX
DB      6A
AND     [DI+5F],BX
DB      6A
PUSH    SP
POP     AX
SUB     [BP+DI+21],AL
INT     21
复制代码

email10t

回复 14# CrLf

你说的反汇编的结果是：

sub al,35h
push ax
push 21h
pop bp
pop di
push 54h
pop ax
sub [di+bp+21h],al
db "!!"
复制代码