那些遇到过的问题

英特尔80x86 PE代码转换

bet*_*eta 0 x86 portable-executable

我目前正在尝试理解以下PE代码指令的翻译:

004033C0 | .-E9 3BDCFFFF | JMP seh_exam.00401000
Run Code Online (Sandbox Code Playgroud)

我自己做了一些研究,因为它是一个无条件的跳转,我认为它是下表中的指令:

在此输入图像描述

(图片来源:http://www.mathemainzel.info/files/x86asmref.html#jmp)

根据我的理解,字节E9 =无条件跳转,3B = o0和DC = 01,其中o0和01表示设置EIP的偏移量.

代码跳跃了9152个字节,但负偏移的转换究竟是如何工作的?任何意见,将不胜感激.

PS:不是作业问题.

Mic*_*ael 5

您问题中的说明是a JMP rel32,未显示在您所显示的表格中.您可能应该使用更好的参考,例如英特尔的软件开发人员手册.

字节3B DC FF FF在一个小端布局(其为x86处理器使用什么)形成32位的双字FFFFDC3B.在二进制补码表示中,值FFFFDC3B等于-23C5.

您的跳转指令从4033C05 开始,并且长度为5个字节.由于跳跃位移是相对于下一条指令的开始,因此您将获得跳转目标4033C0 + 5 - 23C5 == 401000.或者你可以把它写成truncate_to_32_bits(4033C0 + 5 + FFFFDC3B).

归档时间:

查看次数:

42 次

最近记录:

11 年,3 月 前
相关归档
std::min 的参数顺序更改浮点的编译器输出 75
为什么发出这样复杂的代码来将有符号整数除以2的幂? 44
c ++浮点精度损失:3015/0.00025298219406977296 17
为什么.net程序集对于不同的架构有所不同? 16
什么是gcc -O2对递归Fibonacci函数做什么? 5
引用内存位置的内容.(x86寻址模式) 4
在程序集中使用int rand(void) 2
x86 ROR 指令如何工作? 1
CPU中的直接数操作数如何工作? 1
程序集x86了解定义Word(DF)指令 0
难疑归档
如何从JavaScript中删除数组中的特定元素? 7655
在CSS中设置cellpadding和cellspacing? 3210
'using'指令应该在命名空间的内部还是外部? 1975
如何在Linux中对文件进行符号链接? 1865
如何在没有换行或空格的情况下打印? 1760
用PHP将HTML + CSS转换为PDF? 1585
在HTML中显示哪些字符可用于上/下三角(没有词干的箭头)? 1212
如何将包含文件的文件夹复制到Unix/Linux中的另一个文件夹? 1145
同步检查Node.js中是否存在文件/目录 1113
如何使用git merge --squash? 1101