1、热爱底层工作，对反病毒、逆向工程、系统漏洞等有强烈兴趣；

2、熟悉x86系列汇编语言，能熟练读懂汇编代码；

3、熟练使用IDA、OD等工具进行反汇编；

4、有一定C/C++程序功底；

5、有良好的团队合作意识、善于沟通、有耐心、责任心强；

6、工作细心、积极主动、推动力强、有较快、较好的学习新技术能力。

校园招聘的要求如下：

    工作职责：

     1、样本鉴定；

     2、分析病毒样本并提供解决方案；

     3、信息安全技术研究。

    任职要求：

格式：SBB OPRD1,OPRD2
    功能：是进行两个操作数的相减再减去CF进位标志位，即从OPRD1←OPRD1-OPRD2-CF，其结果放在OPRD1中。
    循环控制指令LOOP
    格式：LOOP 标号
    功能：（CX）←（CX）−1，（CX）<>0，则转移至标号处循环执行，直至（CX）=0，继续执行后继指令。
    说明：
    （1）本指令是用CX寄存器作为计数器，来控制程序的循环。
    （2）它属于段内SHORT短类型转移，目的地址必须距本指令在-128到+127个字节的范围内。
    （以下内容选自《IDA Pro代码破解揭秘》第2.4节）
    EFLAGS寄存器是32位寄存器，包含一组状态、系统标志及控制标志。每个标志由寄存器里一位代表，从0位到31位我们有下面这些标志。
    CF：进位标志，指示在算术运算中是否带有进位或借位。用于无符号算术运算。
    PF：奇偶标志，为机器中传送信息时可能出错提供校验。当目的操作数中1的个数为偶数时置1（PE），否则置0（PO）。
    AF：辅助进位标志，记录运算时低4位（半个字节）产生的进位值。有进位时置1（AC），否则置0（NA）。
    ZF：零标志。运算结果为0时置1（ZR），否则置0（NZ）。

SF：符号标志，记录运算结果的符号。结果为负时置1（NG），否则置0（PL）。
    TF：陷阱标志，用于单步方式操作。当TF为1时，每条指令执行完后产生陷阱，由系统控制计算机；当TF为0时，CPU正常工作，不产生陷阱。
    IF：允许中断标志。当IF为1（EI）时，允许中断；IF为0（DI）时关闭中断。
    DF：方向标志，在串处理指令中控制处理信息的方向。当DF置1（DN）时每次操作后，变址寄存器SI和DI减量，这样就使串处理从高地址向低地址方向处理；当DF置0（UP）时，则反之。
    OF：溢出标志。在运算过程中，若操作数超出了机器能表示的范围则称为溢出，此时OF标志位为1（OV）；否则置0（NV）。
    IOPL（12位到13位）：I/O特权级标志。指出当前运行任务的I/O端口的特权级。
    NF：嵌套任务标志。只在当前任务是前一任务的子任务时设置。
    RF：回复标志。控制处理器对调试异常的响应。
    VM：虚拟8086标志。控制是否启用虚拟8086模式。
    AC：对齐检查标志。设置为启用存储器的对齐检查的参考。
    VIF：虚拟中断标志。IF的虚拟映像，与VIP标志联合使用。
    VIP：虚拟中断标志。确定是否有中断被挂起。
    ID：标识标志，确定CPU是否支持CPUID指令。
    第22到31位当前被保留。
    （以下内容选自《黑客免杀攻防》第9.3节）

013A13CC  lea edi,dword ptr ss:[ebp-0xC0]
013A13D2  mov ecx,0x30
013A13D7  mov eax,0xCCCCCCCC
013A13DC  rep stos dword ptr es:[edi];向EDI指向的地址处依次填入EAX中的内容，循环ECX次（也就是填0xCC操作）。这是因为汇编指令;“int 3”的OpCode就是0xCC，很显然这样做会大大提高程序的排错能力，如果由于某些不可知的原;因导致代码跑到了不该去的地方，那么这些成排的“int 3”指令会马上将其断下来。

2、请说明寄存器EBP与ESP的功能，并解释在大多数函数入口点处的反汇编代码中，这两个寄存器的作用。
    答：（以下内容选自《0day安全：软件漏洞分析技术 第2版》第2.1.4节）
    每一个函数都独占自己的栈帧空间。当前正在运行的函数的栈帧总是在栈顶。Win32系统提供两个特殊的寄存器用于标识位于系统顶端的栈帧。
    （1）ESP：栈指针寄存器（extended stack pointer），其内存放着一个指针，该指针永远指向系统栈最上面一个栈帧的栈顶。
    （2）EBP：基址指针寄存器（extended base pointer），其内存放着一个指针，该指针永远指向系统栈最上面一个栈帧的底部。
    注意：EBP指向当前位于系统栈最上边一个栈帧的底部，而不是系统栈的底部。严格说来，“栈帧底部”和“栈底”是不同的概念，本书在叙述中将坚持使用“栈帧底部”这一提法以示区别；ESP所指的栈帧顶部和系统栈的顶部是同一个位置，所以后面的叙述中并不严格区分“栈帧顶部”和“栈顶”的概念。请您注意这里的差异，不要产生概念混淆。
函数栈帧：ESP和EBP之间的内存空间为当前栈帧，EBP标识了当前栈帧的底部，ESP标识了当前栈帧的顶部。
    （以下内容选自《0day安全：软件漏洞分析技术 第2版》第2.1.5节）
    函数调用大致包括以下几个步骤
    ……
    （4）栈帧调整：具体包括。
    保存当前栈帧状态值，以备后面恢复本栈帧时使用（EBP入栈）；
    将当前栈帧切换到新栈（将ESP值装入EBP，更新栈帧底部）；
    给新栈帧分配空间（把ESP减去所需空间的大小，抬高栈帧）；
    ……

push ebp             ;保存旧栈帧的底部
mov ebp,esp          ;设置新栈帧的底部（栈帧切换）
sub esp,xxx          ;设置新栈帧的顶部（抬高栈帧，为新栈帧开辟空间）

（以下内容选自《黑客免杀攻防》第9.3节）

013A13C0 >push ebp       ;EBP入栈保存（一般情况下将某个寄存器入栈保存的目的只有两个，一个
013A13C0                 ;是需要将其通过栈传递给某个函数或代码使用，另外一种情况就是后面的
013A13C0                 ;代码要使用到这个寄存器，因此要将其原始的值保存起来，
013A13C0                 ;以备恢复）
013A13C1  mov ebp,esp    ;然后将堆栈指针ESP的值传递给EBP，如此一来在这个函数内只需要使用
013A13C1                 ;EBP就可以对栈进行操作了。这样做的好处是不需要对ESP做过多的操
013A13C1                 ;作，从而更好地保证了程序的健壮性（也增加了易读性）
013A13C3  sub esp,0xC0   ;将ESP减0xC0，也就是将栈顶抬高0xC0。这里有一个专业名词叫做
013A13C3                 ;“打开栈帧”。但是通过源代码我们知道根本用不了这么大的空间，这
013A13C3                 ;是编译器在编译Debug版本时为了增强程序的健壮性与可调试性而做
013A13C3                 ;的一件事

3、请说明CALL与RET指令的实现原理。

答：（以下内容选自《汇编语言 第二版》王爽著，第10章，仅针对16位系统，而32位及64位系统也可参考）

call和ret指令都是转移指令，它们都修改IP，或同时修改CS和IP。它们经常被共同用来实现子程序的设计。

ret指令用栈中数据，修改IP的内容，从而实现近转移；

retf指令用栈中的数据，修改CS和IP的内容，从而实现远转移。

CPU执行ret指令时，进行下面两步操作：

（1）(IP)=((ss)*16+(sp))

（2）(sp)=(sp)+2

CPU执行retf指令时，进行下面4步操作：

（1）(IP)= ((ss)*16+(sp))

（2）(sp)=(sp)+2

（3）(CS)= ((ss)*16+(sp))

（4）(sp)=(sp)+2

可以看出，如果我们用汇编语法来解释ret和retf指令，则：

CPU执行ret指令时，相当于进行：

pop IP

CPU执行retf指令时，相当于进行：

pop IP
pop CS

CPU执行call指令时，进行两步操作：

（1）将当前的IP或CS和IP压入栈中；

（2）转移。

call指令不能实现短转移，除此之外，call指令实现转移的方法和jmp指令的原理相同。

（以下内容选自《0day安全：软件漏洞分析技术第2版》第2.1.5节）

函数调用大致包括以下几个步骤。

（1）参数入栈：将参数从右向左依次压入系统栈中。

（2）返回地址入栈：将当前代码区调用指令的下一条指令地址压入栈中，供函数返回时继续执行。

（3）代码区跳转：处理器从当前代码区跳转到被调用函数的入口处。

……

call函数地址 ;call指令将同时完成两项工作：a）向栈中压入当前指令在内存中的位置即保存返回;地址。b）跳转到所调用函数的入口地址函数入口处

……

类似地，函数返回的步骤如下。

（1）保存返回值：通常将函数的返回值保存在寄存器EAX中。

（2）弹出当前栈帧，恢复上一个栈帧。

具体包括：

● 在堆栈平衡的基础上，给ESP加上栈帧的大小，降低栈帧，回收当前栈帧的空间。

● 将当前栈帧底部保存的前栈帧EBP值弹入EBP寄存器，恢复出上一个栈帧。

● 将函数返回地址弹给EIP寄存器。

（3）跳转：按照函数返回地址跳回母函数中继续执行。

还是以C语言和Win32平台为例，函数返回时的相关的指令序列如下。

add esp,xxx  ;降低栈帧，回收当前的栈帧
pop ebp      ;将上一个栈帧底部恢复到ebp
retn         ;这条指令有两个功能：a）弹出当前栈顶元素，即弹出栈帧中的返回地址。;至此，栈帧恢复工作完成。b）让处理器跳转到弹出的返回地址，恢复调用前;的代码区

本篇文章参考资料：

1、林文龙，“汇编指令助手 V1.1”，小龙软件工作室。

2、[美]DanKaminsky、Justin Ferguson、Jason Larsen、Luis Miras、Walter Pearce（著），看雪论坛翻译小组（译），《IDA Pro代码破解揭秘》，人民邮电出版社。

3、任晓珲，《黑客免杀攻防》，机械工业出版社。

4、王清（主编），张东辉、周浩、王继刚、赵双（编著），《0day安全：软件漏洞分析技术（第2版）》，电子工业出版社。

5、王爽，《汇编语言（第2版）》，清华大学出版社。