反汇编引擎学习-prefixex

最新推荐文章于 2020-03-26 21:43:16 发布
最新推荐文章于 2020-03-26 21:43:16 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 反汇编 文章标签: 汇编 引擎 byte 算法 x86 c

http://hi.baidu.com/%C4%BD%C8%DD%CC%EC%D3%EF/blog/item/33ea77063832b1d07acbe1c8.html
http://computerscience.ycool.com/post.1801408.html


Intel的IA32-x86体系结构CPU的每条指令都可能由以下六个域组成,并且它们在指令中的排列顺序是不能改变的。
这六个域分别是:
            prefixes (1 Byte)
            code (1/2/3 Bytes; 2字节指令是第一个指令码为0x0f,而一般3字节指令的第3字节是ModR/M的一部分)
            ModR/M (1 Byte)
            SIB (1 Byte)
            displacement (1/2/4 Bytes) 偏移量
            immediate (1/2/4 Bytes)    立即数
  在任何一条指令中code域必须出现,其他的域都是可选的。
  由于这六个域在指令中的排列顺序是固定的,所以反汇编机器码,就是一个对它们的依次识别过程。
  1、对prefixes的识别 
  x86体系结构CPU的4类prefixes,它们分别为:
            lock/repeat prefix             :F0/F2,F3 (LOCK和REP)
            segment override prefixes      :2E,36,3E,26,64,65 (段优先前缀)
            operand-size override prefix   :66 (忽略操作数大小的前缀)
            address-size override prefix   :67 (忽略地址大小的前缀) 
也有人这样子分:
                  lock prefix                    :F0
                  repeat prefixes                :F2,F3
                  segment override prefixes      :2E,36,3E,26,64,65
                  operand-size override prefix   :66
                  address-size override prefix   :67
  指令的prefixes可以由这几类prefixes组成,但是每类prefixes只能在指令中出现一次,至于每类prefixes在指令的出项顺序是没有要求的,这点和指令的六个域是不同的。当某类prefixes在同一指令中出现多次的时候,CPU在执行过程中,可能会出现不可预料的结果,至于会不会出现异常,Intel的官方手册中只用了这句话来说明:such use may cause unpredictable behavior.鬼知道会出项什么情况,因此算法必须对这类机器码具有识别能力。但是也可能异常情况不会发生,在反汇编过程,遇到同一类prefixes出现多次的情况,以最后出现的prefix为准,进行机器码识别。
  总结:
    (1)Prefixes是唯一的一个可能出现在code之前的域。
    (2)所有的Prefixes都只有1个字节。
    (3)在一个OpCode中可能会有多个Prefixes。
    (4)如果有多个Prefixes,那么它们的顺序可以打乱,不会有任何问题。
    (5)如果Prefixes不能对随它之后的OpCode起作用,那么它就会被忽略。 

   prefixes识别的核心代码:

       for( ; nSizeOfCode > 0; nSizeOfCode--, pCode++)
         {
            IsPrefix = 1;    //这个是用来判断当前机器码是不是prefixes
            switch(*pCode)
            {
                case 0xF0:
                   if(lockPrefix == 0) lockPrefix = 0xF0;
                   else isPrefixRepeat = 1;   //同一类重复出现
                   break;
                ...         //这里的代码略了,但是这个地方要注意的是,对一类prefixes中有几个prefix的情况,
                            //这几个prefix共用一个是不是重复出现的标识(lockPrefix是lock prefix的重复出现标识)
                default:
                   IsPrefix = 0; //不是prefixes机器码了
                   break;
            }
            if(IsPrefix == 0) break;   //表示prefixes识别结束
         }

       if(isPrefixRepeat == 1) //说明指令的执行可能会发生异常

      说明:lock prefix是用来在多处理器机器上保证对共享内存的互斥访问的,在反汇编的过程中,可以忽略这个前缀。

 

小大小丑
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反汇编引擎ProView_源代码
08-15
反汇编引擎ProView的源代码,仅供学习之用,禁止用于商业用途。
c语言sizeof用法_学习C语言与反汇编之间的角色扮演
weixin_39849942的博客
11-28 96
C语言主要是记录一下,在学习过程中认为容易忘记且重要的东西,方便以后忘了再来学习一下。 集中于结构体部分以及结构体对齐的知识。结构体的使用练习1、定义一个结构体Gamer用来存储一个游戏中的角色的信息,包括血值、等级、坐标等信息 。要求:(1) 具体包含哪些信息自由设计(2) 但这些包含的类型中,必须要有一个成员是结构体类型。2、定义一个函数,用来给这个结构体变量赋值.3、定义一个函数,用来显示这...
机器汇编反汇编&指针、结构的尺寸(对齐)
qq_37772475的博客
03-05 296
调用编译器产生汇编语言mstore.s: gcc -Og -S mstore.c 调用汇编器产生二进制文件mstore.o: gcc -Og -c mstore.c 反汇编: objdump -d mstore.o 编译生成二进制可执行文件prog: gcc -Og -o prog main.c mstore.c 反汇编: objdump -d prog mstore.c...
C中sizeof用法
weixin_30662849的博客
08-30 361
一、sizeof的概念 sizeof是C语言的一种单目操作符,如C语言的其他操作符++、--等。它并不是函数。sizeof操作符以字节形式给出了其操作数的存储大小。操作数可以是一个表达式或括在括号内的类型名。操作数的存储大小由操作数的类型决定。 二、sizeof的使用方法 1、用于数据类型 sizeof使用形式:sizeof(type) 数据类型必须用括号括住。如sizeo...
C和汇编---sizeof运算符和strlen函数
qq_41683305的博客
03-26 1193
sizeof sizeof是C语言的内置运算符,以字节为单位给出指定类型的大小。 程序: #include <stdio.h> int main(void) { int a=8; int b = sizeof(a); //printf("a占用字节=%u\n",sizeof(a)); printf("a占用字节=%d\n",b); return 0; } 反汇编: 5:...
易语言反汇编引擎源码-易语言
06-13
通过研究这些源码,开发者可以学习到如何构建和实现一个反汇编引擎,包括指令解析、流程控制和内存操作等核心功能。 描述"易语言反汇编引擎源码"进一步强调了我们讨论的核心内容——易语言的反汇编引擎的原始代码。...
BeaEngine反汇编引擎-易语言
06-12
BeaEngine是一款开源的反汇编引擎。 最新版是5.0,但我仍然使用目前稳定版4.1.175 这个版本我还做了一些修改,以及修复BUG。 因为它反汇编成NASM仍然存在一个BUG, 就是:置入代码 ({57,0}) 这句代码反汇编后变成:...
反汇编引擎
04-25
4. 汇编语言学习:对于想要深入学习计算机体系结构和底层编程的人员,反汇编引擎提供了一种实践汇编语言的方式。 现在,让我们关注一下“mlde32”这个文件。这很可能是“Microsoft Macro Assembler Disassembler ...
反汇编引擎ade
04-25
反汇编引擎(Disassembler Engine)是计算机科学领域中的一种关键工具,它主要用于将机器语言代码转换成人类可读的汇编语言形式。在软件开发、逆向工程、漏洞分析以及恶意软件研究等场景中,反汇编引擎扮演着至关...
OllyDbg汇编/反汇编引擎
09-26
感谢看雪论坛的bluesand大大对OD反汇编引擎移植到VS上,并修改了许多bug 使用方法: 反汇编函数 ulong Disasm(char *src,ulong srcsize,ulong srcip, t_disasm *disasm,int disasmmode) 返回值是指令长度 src指向...
集成汇编反汇编引擎,实现快速查询转换,再也不要去翻麻烦的Intel指令手册了
05-08
ADTools:汇编反汇编工具
Linux和Windows学习日记8
NLP工程化
05-23 1167
1.Advanced IP Scanner 解析:Advanced IP Scanner是用于网络扫描的快速可靠的解决方案。它将能使你轻松快速地检索网络上各台计算机的全部所需资料。 2. IDA Pro,OllyDbg和WinDbg 解析: [1]静态反汇编工具: IDA Pro [2] [2]动态反汇编工具: OllyDbg [3] [3]Windows内核调试工具: Win...
X86指令内幕 ——深入了解Prefix
晓风残月的技术天地
03-07 8045
1. Legacy prefix 1.1 legacy prefix 的作用legacy prefix 主要有以下作用: 调整内存操作数的属性 增强指令的功能 提供额外的作用  1.2 legacy prefix 分类(1) operand size override prefix:66H --- 改变操作数大小(2) address size override preifx:67H --- 改变操作数地址模式(3) segment override prefix:改变 memory 操作数段选择子,包括:
各种开源汇编反汇编引擎的非专业比较
云守护的专栏
06-04 7870
转自:http://bbs.pediy.com/thread-205590.htm 由于平时业余兴趣和工作需要,研究过并使用过时下流行的各种开源的x86/64汇编反汇编引擎。如果要对汇编指令进行分析和操作,要么自己研究Intel指令集写一个,要么就用现成的开源引擎。自己写太浪费时间,又是苦力活,还容易出错,所以还是使用现成的好一点。   这里对我曾使用过的比较流行的反汇编引擎做个比较,我
基于arm的C++反汇编 函数的工作原理
XscKernel的专栏 记录工作中做的点滴
05-23 7451
栈帧的形成和关闭 各种调用方式的考擦 使用 fp或sp寻址 函数的参数 与返回值 arm指令中立即数存放位置 gdbserver 调试环境栈帧的形成和关闭栈在内存中是一块特殊的存储空同, 它的存储原则是“先进后出”, 即最先被存储的数据最后被释放, 汇编过程通常使用 push 指令与 POP指令对栈空间执行数据压入和数据弹出操作。栈结构在内存中占用一段连续的存储空间, 通过sp与 fp这两个栈指针寄
一个简单的反汇编引擎的实现小记
my博客
08-23 2370
根据在15PB学的知识,做了一个简单的反汇编引擎,简记如下: 一、查手册时遇到的问题 1.sib表中的[*]列(手册的Table 2-3):  在modrm的第一部分为00B时,此列相当于disp32  否则,此列相当于EBP,代码如下 if (getMod () != 0x0) { assert (getMod () == 0x1 ||getMod () == 0x2)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值