RET RETF IRET IRETD 指令的不同

已于 2022-05-13 18:20:32 修改
阅读量3.8k 收藏 23
点赞数 6
分类专栏: 杂项 文章标签: 操作系统 反汇编
于 2022-04-13 18:55:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50332504/article/details/124145581
版权

文章目录

操作系统:32位,保护模式,影子堆栈(Shadow-Stack)

填一下之前挖的坑
以下个人理解并不保证完全正确,请使用intel白皮书进行对照阅读

如有错误,还请指正

RET

机器指令:C3

近返回,一般函数调用的返回,call 对应 ret,也是唯一的用途

  • RET 的本质是:从栈顶弹出 EIP (pop EIP),EIP是返回地

    注意:pop EIP没有这条指令,只是方便理解

如果是 RET n 这样的,那么之后还会 ESP + n (后面这种形式就不写了)

RETF (return far)

机器指令:CB

远返回,call far 对应的 retf,当然分为两种情况

  • 相同权限返回:从栈顶弹出 EIP >> CS (先 >> 后)
  • 不同权限返回:从栈顶弹出 EIP >> CS >> ESP >> SS

权限是否相同指的是:当前段的特权级别将要返回的段的特权权限是否相同(CPLDPL是否相同)

tip:不同权限之间的跳转都是要进行权限检查和各种保护检查

IRET (interrupt return)

机器指令:CF66

中断返回,int n 对应 iret;任务切换(nested task swith)的 call far 也用 iret 返回

  • 这里会用到一个NT位 (在EFLAGS寄存器中),这个表示是否是嵌套的任务切换 (是否是call命令的任务切换)。这将会影响到返回的方式。
    • NT = 0,从栈顶弹出 EIP >> CS >> EFLAGS >> ESP >> SS (类似于RETF)
    • NT = 1,任务切换返回,使用到TSS表。详情请查看任务段调用及返回

IRETD

机器指令:CF

中断返回,同iret

  • 32位下,IRETD和IRET至少执行结果是一样的,但是硬编码却略有不同
  • 本来是专门为32位定制的,但是编译器却允许IRET有32位和16位两种返回方式。

(32位下,IRET 等价于 IRETD,且 IRET 比 IRETD 更常用)

书中原文:
IRET and IRETD are mnemonics for the same opcode. The IRETD mnemonic (interrupt return double) is intendedfor use when returning from an interrupt when using the 32-bit operand size; however, most assemblers use theIRET mnemonic interchangeably for both operand sizes.

参考书籍

参考 : (可以参考书中的代码)
英特尔2卷 Vol. 2A 3-525				//IRET IRETD
英特尔2卷 Vol. 2B 4-563				//RET RETF

这里只是简单描述一些比较重要的内容,更多详情请参看上面的书页

一口一个橘子
关注
专栏目录
什么是HOOK功能?
墨痕诉清风的博客
03-08 4087
HOOK RECV(),如果你在API头HOOK,此时还没有收到数据,你就去查看RECV()的接收缓冲区,里面当然没有你想要的数据,必须等RECV()正常执行后,在RECV()的尾部HOOK,此时去查看RECV()的缓冲区,里面才有想要的数据;以上几种方法是常用的方法,值得一提的是很多人都是改API开头的5个字节,但是现在很多杀毒软件用这样的方法检查API是否被HOOK,或其他病毒木马在你之后又改了前5个字节,这样就会互相覆盖,最后一个HOOK API的操作才是有效的,所以提倡用第3和第4种方法。
8086CPU中指令RET与IRET区别
Artorias的博客
05-22 1万+
ret 是普通的子程序的返回指令。 也可以叫做近返回,即段内返回。处理器从堆栈中弹出IP或者EIP,然后根据当前的CS:IP跳转到新的执行地址。如果之前压栈的还有其余的参数,则这些参数也会被弹出。 iret 是中断服务子程序的返回指令。 用于从中断返回,会弹出IP/EIP,然后CS,以及一些标志。然后从CS:IP执行。 ...
了解一下IRETD/ RET/ RETF
robbie1314的专栏
08-14 5100
<br />IRETD/ RET/ RETF 有什么区别,今天GOOGLE了一下:<br />RET, and its exact synonym RETN, pop IP or EIP from the stack and transfer control to the new address. Optionally, if a numeric second operand is provided, they increment the stack pointer by a further imm16 b
汇编语言:ret和retf指令
最新发布
天道酬勤
08-16 479
ret指令用栈顶中的数据,修改IP的内容,从而实现近转移。CPU执行ret指令时,相当于执行:pop IP。retf指令同时用栈顶中的数据,修改IP和CS,从而实现远转移。CPU执行retf指令时,相当于执行:(1)pop IP;(2)pop CS。
ret & IRET
chw_csdn_chw的专栏
01-24 1765
The Stack Stack is an area of memory for keeping temporary data. Stack is used by CALL instruction to keep return address for procedure, RET instruction gets this value from the stack and returns to t
IRET/IRETD - 中断返回
li4850729的专栏
08-06 1万+
转自:http://scc.qibebt.cas.cn/docs/optimization/VTune(TM)%20User's%20Guide/mergedProjects/analyzer_ec/mergedProjects/reference_olh/instruct32_hh/vc143.htm http://szkn28szkn.iteye.com/blog/1362460 说明
ret ,retf ,iret ,int 指令
weixin_30386713的博客
11-07 472
ret指令, 执行过程 ret指令用栈中的数据,修改IP的值,从而实现近转移。 CPU执行ret指令时,进行下面两步操作: (IP)=((SS)*16+(SP)) (SP)=(SP)+2; 另一种用法 ret n (n为整数) 等效于 (IP)=((SS)*16+(SP)) (SP)=(SP)+2; (SP)=(SP)+n; 例如ret 4 pop ip add sp,4...
汇编指令命令大全学习
11-19
- **IRET**/**IRETD**:中断返回指令,用于从中断或异常返回。 #### 五、控制流指令 1. **处理器控制指令** - **HLT**:挂起CPU的执行,等待外部中断。 - **WAIT**:使CPU进入等待状态,直到TEST寄存器变为零。...
x86 体系指令
热门推荐
hollyhock13的专栏
08-27 1万+
 FASM 第二章 - 2.1 x86 体系指令Author: 徐艺波  From: xuyibo.org  Updated: 2008-04-17   官方论坛  本站软件反馈、软件开发交流。  邮件通知  当更新时自动发送邮件通知。  评论本文  有什么建议或评论,可以贴一下。  捐助  你的支持,让我们做的更好。
30天自制操作系统——第十九天系统调用(API)
mint1993的专栏
09-16 1049
系统调用 API(application program interface)即应用系统对操作系统功能的调用,也可以称为系统调用(system call)。 今天我们就来实现系统调用的功能,我们先来思考一下WIN10系统是如何实现系统调用的呢? 下图是简化版的Windows系统架构图: ​ Windows计算机中处理器有两种模式,分别为用户模式(用户态、目态)和内核模式(核心态、内核态、管态、系统模式、管理模式)。在用户模式下,处理器运行用户进程,不能使用特权指令,其中特权指令是指具有特殊权限的指令,一般
没有HOOK就没有病毒?详谈HOOK API技术(转)
cuankuangzhong6373的博客
03-25 694
HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻...
funcode——坦克大战
05-17
基于funcode的坦克大战设计,添加多种元素,界面更加美观,添加各种音效。
汇编iretd
Flysa_1的博客
09-13 560
iretd是程序结束的标示,跟ret差不多
ret,retf,iret等的区别
是真学霸自风流,公众号:IC免费课
11-14 6753
RET, and its exact synonym RETN, pop IP or EIP from the stack and transfer control to the new address. Optionally, if a numeric second operand is provided, they increment the stack pointer by a furthe
操作系统-真象还原》11. 用户进程
XiaoLing 一直摆烂哇!
11-14 805
中断发生时,处理器要把 NT 和 TF 位置为 0,若对应的描述符是中断描述符,还要再将标志寄存器中的 IF 位置为 0,这是为了避免中断嵌套,防止正在处理的中断尚未完成时,相同的中断源又发出中断信号,避免引发 GP 异常。答:因为旧任务并没有执行完,它现在执行的新任务也只是因为要完成某些必要的工作,才不得不调用新任务,新任务完成后就会立刻回去执行旧任务,因此旧任务的 B = 1,不需要修改。在用户进程 4GB 的虚拟地址空间的高 3GB 以上划分给操作系统,0~3GB 划分给用户进程自己。
【OS课设日志】《Orange‘S:一个操作系统的实现》Ch6
Called_North的博客
04-26 687
实验内容:进程切换;丰富中断处理程序,比如让时钟中断处理可以不停地发生而不是只发生一次,进程状态的保存与恢复,进程调度,解决中断重入问题。
保护模式笔记九 中断门和IDT(中断描述符表)
katerdaisy的博客
03-04 1408
所有保护模式索引链接:保护模式笔记一 保护模式介绍前面学习了调用门之后继续学习中断门中断门执行后会将EFL(标志位寄存器)中的IF标志位 置0,使CPU不再响应可屏蔽中断执行中断门时,分为两种情况:在没有权限切换时,只向堆栈中压入3个值:①CS;②EFL;③返回地址在涉及权限切换时,会向堆栈中压入5个值:①SS;②ESP;③EFL;④CS;⑤返回地址中断门不允许传递参数,调用门允许传递参数中断门通过INT N(索引)执行,调用门通过远调用 CALL FAR CS:EIP执行。
汇编ret ,retf ,iret ,int指令详解
我写写哈的博客
03-15 3073
1.恢复 IP(instruction pointer):(IP)←((SP)+1:(SP)),(SP)←(SP)+2。2.恢复 CS(code segment):(CS)←((SP)+1:(SP)),(SP)←(SP)+2。3.恢复中断前的 PSW(program status word),即恢复中断前的 标志寄存器的状态。最后,call、ret、retf 这三条指令执行后不会对标志位产生影响。ret指令用栈中的数据,修改IP的值,从而实现近转移。IRET指令影响所有标志位。
调用门-中断门拾遗
yu_sn0w的博客
09-30 677
个人备忘,一些总结。中断门和调用门的细节不赘述,网上很多。 调用门,用 iretd 返回。来深度理解调用门(正常应该 retf 返回) void __declspec(naked) Dym() { __asm { int 3; //retf; // 正常应该用 retf 返回 mov eax, 0x11112222; mov ebx, 0x22222222; mov ecx, 0x33333333;
汇编语言ret和iret是什么指令
05-31
在汇编语言中,`ret`和`iret`分别是以下指令的助记符: - `ret`:返回指令,用于从子程序(例如函数或中断处理程序)返回到调用者。执行`ret`指令时,会将栈顶的值弹出,并将程序计数器(PC)设置为该值。在调用子...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值