13
我需要幫助才能理解以下彙編指令。在我看來,我打電話給某個未知值+ = 20994A的地址?需要幫助瞭解E8 asm調用指令x86
E8 32F6FFFF - call std::_Init_locks::operator=+20994A
A
回答
42
無論您使用的是獲得拆卸嘗試是有益的,通過給呼叫是從它所知道的一些符號偏移量的目標 - 但考慮到偏移量是如此之大,它可能是困惑。
E8是call具有相對偏移:呼叫的實際目標可以如下來計算。
- 在32位代碼段中,偏移量被指定爲帶符號的32位值。
- 該值採用little-endian字節順序。
- 偏移量是從以下指令的地址開始測量的。
例如
<some address> E8 32 F6 FF FF call <somewhere>
<some address>+5 (next instruction)
- 偏移是
0xFFFFF632。 - 解釋爲有符號的32位值,這是
-0x9CE。 call指令位於<some address>,長度爲5個字節;下一條指令是<some address> + 5。- 所以呼叫的目標地址是
<some address> + 5 - 0x9CE。
-2
如果你正在用反彙編器分析PE文件,反彙編器可能會給你錯誤的代碼。大多數惡意軟件編寫者使用E8的插入作爲反分解技術。您可以驗證E8以上的代碼是跳轉位置在E8之後的跳轉指令。
相關問題
- 1. 需要幫助瞭解指針語義
- 2. 需要幫助瞭解本指南
- 3. 需要幫助瞭解MEF
- 4. x86 E8和FF調用,如何找到E8移位地址?基本的x86 ASM調用
- 5. 需要幫助瞭解
- 6. AsyncTask幫助需要了解
- 7. 需要幫助瞭解Xcode * .pch文件
- 8. 需要幫助瞭解遞歸
- 9. 需要幫助瞭解連續函數
- 10. 需要幫助瞭解結構用C
- 11. 需要幫助瞭解`liftBase`的用法
- 12. 需要幫助瞭解Coldfusion URL引用
- 13. java hw需要幫助瞭解
- 14. 我需要幫助瞭解Matlab的
- 15. 需要幫助瞭解「ABA」問題
- 16. 需要幫助瞭解事件在C#
- 17. 需要幫助瞭解Big-O
- 18. 需要幫助瞭解遞歸示例
- 19. 需要幫助瞭解燒瓶url_for()
- 20. 需要幫助瞭解此代碼
- 21. 需要幫助瞭解證書鏈
- 22. x86 asm:幫助反彙編代碼
- 23. 需要幫助瞭解F#類語法
- 24. 需要幫助瞭解UTF編碼
- 25. 需要幫助瞭解REST API端點
- 26. 需要幫助瞭解套接字getaddrinfo
- 27. 需要幫助瞭解python代碼
- 28. 需要幫助瞭解xmpp xeps
- 29. 需要幫助以瞭解程序
- 30. 需要幫助瞭解位運算符
坦克你這麼多。你的例子是現貨! – Michael
@Matthew 調用指令的長度是否可以超過5個字節? (在x86 archi中,下一個命令是否可以在 + 6)?在什麼情況下? –
Rafa
@Rafa,調用相對偏移量指令是5個字節,因爲最大相對偏移量必須適合4個字節。如果目標遠離2 ** 31個字節,'mov reg,imm64;調用reg'被使用。 –