那些遇到过的问题

调试器中观察到的ASM跳转指令不精确

AK-*_*-33 0 x86 assembly reverse-engineering machine-code ollydbg

我正在对OllyDbg中的应用程序进行一些内联​​修改,并注意到一些奇怪的行为.

这些是我写的指令,直接从调试器复制:

2005FE35   4C               DEC ESP
2005FE36   77 21            JA SHORT 2005FE59 ; 23 byte difference
Run Code Online (Sandbox Code Playgroud)

为了清楚起见,我只修改了操作码(4C 77 21); 其他一切都由OllyDbg自动解释,这就是我的困惑.该指令应该递减ESP寄存器,然后执行21个十六进制字节的条件跳转.但是,地址0x2005FE59和0x2005FE36之间的差异不是21 - 它是23!

使用21个十六进制字节值,我观察到看似不稳定的结果.

2005FE36   77 20            JA SHORT 2005FE58 ; 22 byte difference
2005FE36   77 19            JA SHORT 2005FE51 ; 1B byte difference
2005FE36   77 17            JA SHORT 2005FE4F ; 19 byte difference
Run Code Online (Sandbox Code Playgroud)

我指示向前跳转的十六进制字节数与地址偏移量不匹配; 它似乎永远都是2.

这里发生了什么?

Ste*_*oft 6

读取指令后执行跳转(或任何指令),并且IP增加指令的大小(2个字节),因此跳转相对于2005FE38.

归档时间:

查看次数:

170 次

最近记录:

10 年,6 月 前
相关归档
任何语言/编译器都使用非零嵌套级别的x86 ENTER指令吗? 44
在MIPS中,HI和LO是什么 21
汇编程序文件作为使用WDK工具构建的驱动程序的输入 7
ARM 汇编访问 C 全局变量 5
如何将像SVProgressHUD这样的第三方框架添加到theos项目中 5
一个目标文件中的代码对齐正在影响另一目标文件中函数的性能 4
字大小的 OUT 到字节 IO 寄存器?使用旧 VGA 代码中的指令设置序列控制器寄存器 3
`cc`选项`-ldl`在以下命令中做了什么? 2
在glibc的ld.so中禁用xsave 2
在 64 位 Intel CPU 中执行“idiv”之前,是否将有符号整数转换为十六进制? 2
难疑归档
避免!= null语句 3904
检测未定义的对象属性 2742
如何在Python中延迟时间? 2638
删除包含特定字符串的文本文件中的行 1670
在jQuery中检测移动设备的最佳方法是什么? 1564
如何在不注销并重新登录的情况下重新加载.bashrc? 1510
如何自动调整图像大小以适合div容器 1394
为什么在允许某些Unicode字符的注释中执行Java代码? 1326
关闭特定行的eslint规则 1214
为什么使用'=='或'is'比较字符串有时会产生不同的结果? 1076