那些遇到过的问题

具有32位寄存器和常量的指令如何只占用三个字节?

sha*_*oth 2 x86 assembly disassembly

我正在审查Visual Studio 2012中某些程序的反汇编,并看到以下内容:

65F920F3  or          eax, 0FFFFFFFFh  
65F920F6  jmp         65F92157
Run Code Online (Sandbox Code Playgroud)

请注意or.它占用地址F3-F5,这意味着它只占用三个字节.该eax寄存器是四个字节,所以我假定不变0FFFFFFFFh也是四个字节.

该指令如何适合三个字节?

har*_*old 8

因为常量0xFFFFFFFF aka -1适合有符号字节,所以它可以使用具有有符号字节的编码作为立即操作数.

所以那是

83 C8 FF
Run Code Online (Sandbox Code Playgroud)

83是一般操作码aluop rm32, imm8,ModRM字节C8有组件11_001_000,其中11rm部分是寄存器,001是/ r字段并将指令转换为a or,000表示rm操作数是eax.FF是imm8.

归档时间:

查看次数:

84 次

最近记录:

10 年,9 月 前
相关归档
使用GCC生成可读组件? 238
如何从Linux上的c源代码生成一个nasm可编译的汇编代码? 21
为什么GCC根据常量的值生成不同的乘法运算? 14
现代处理器上的并行内存访问 9
将二进制转换为手臂 5
如何从内存中的 DLL 调试 C# 代码,但磁盘中没有 DLL 5
首先找到二进制数"1" 4
内核代码能否以其他内核代码无法撤消的方式将事物设为只读? 3
如何在Apple Silicon(ARM64)上按标签加载数据? 1
Digital Forensic和Reverse Engineering有什么区别? 0
难疑归档
使用Git将我的最后一次X提交压缩在一起 3294
使用jQuery禁用/启用输入? 2216
你如何改变用matplotlib绘制的数字的大小? 1726
如何仅从SQL Server DateTime数据类型返回日期 1692
<button>与<input type ="button"/>.哪个用? 1588
使用jQuery将表单数据转换为JavaScript对象 1580
在Vim中复制整行 1555
varchar和nvarchar有什么区别? 1300
jQuery document.createElement等价? 1226
如何使用Windows开发机器为iPhone开发? 1161