利用pushfd/popfd检测虚拟机(cpu模拟器)

最新推荐文章于 2024-07-26 13:52:53 发布
最新推荐文章于 2024-07-26 13:52:53 发布
阅读量93 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/blueprincess/p/3655628.html
版权

 

执行popfd前:

EFL = 00200202

[ESP] = FFFFFAFF

 

执行popfd后:

EFL = 00244AD7

 

不等于[ESP]中的FFFFFAFF,什么原因导致的呢?

POPFD不是简单把[ESP]赋值给EFLAGS

 

某些虚拟机(CPU模拟器)简单的把[ESP]值pop给了ELF,导致popfd后-》再pushfd-》再pop出来的值是相同的,实际如上,应该是不同的,popfd只对某些位有影响。

这应该算是某些CPU模拟器的BUG.

转载于:https://www.cnblogs.com/blueprincess/p/3655628.html

weixin_30596735
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
X86 POPF/POPFD指令详解
ross1206的博客
06-09 5356
SDM指令功能描述(POPF/POPFD) 总体描述: POPF/POPFD/POPFQ指令从RSP/ESP/SP指向的堆栈中(栈顶)取出OperandSize大小的数据加载至RFLAGS/EFLAGS/FLAGS寄存器,并将堆栈指针寄存器RSP/ESP/SP增加对应OperandSize大小。能被该指令影响的FLAGS标记位,取决于当前指令所处的模式。当处于保护模式下且当前特权级别为0时,除了R
pushad和pushfd
audooking的博客
12-06 3575
pushad:是将所有32位通用寄存器压入堆栈 pusha:是将所有16位通用寄存器压入堆栈 pushfd:然后将32位标志寄存器EFLFAGS压入堆栈 pushf:将16位标志寄存器EFLFAGS压入堆栈 popad:将所有32位通用寄存器弹出堆栈 popa:将所有16位通用寄存器弹出堆栈 popfd:将32位标志位寄存器ELFFAGS弹出堆栈 popf:将16位标志位寄存器ELFFAGS弹出堆...
汇编指令 栈现场保护 算数运算 位运算 比较指令 跳转指令 循环指令 寻址方式
有勇气的牛排博客
09-16 2804
定义:对操作数进行赋值,操作数可以是寄存器、数值、间接寻址的内存数据。add:加法指令,2个操作数相加,结果返回给第1个操作数。sub:减法指令,2个操作数相减,结果返回给第1个操作数。定义:是对标志位进行的现场保护。定义:去内存地址(非数据)定义:对寄存器的现场保护。定义:不执行任何操作。popad作用则相反。
PUSHFDPOPFD
ShrimpsChen的博客
01-06 644
_pushfd_eflags: PUSHFD ; PUSH EFLAGS POP EAX RET Eflags前面的E是Extra(额外)的意思,Flags是十六位标志位 将EFLAGS标志位里的三十二位推入栈中,再弹出至EAX,相当于使用EAX寄存器保存标志位的值。 _popfd_eflags: MOV EAX,DS:[ESP+4] PUSH EAX ...
pushad 和 pushfd
HelloKandy's Blog
12-26 5346
pushad:将所有的32位通用寄存器压入堆栈 pushfd:然后将32位标志寄存器EFLAGS压入堆栈 pusha:将所有的16位通用寄存器压入堆栈 pushf:将的16位标志寄存器EFLAGS压入堆栈 popad:将所有的32位通用寄存器取出堆栈 popfd:将32位标志寄存器EFLAGS取出堆栈 popa:将所有的16位通用寄存器取出堆栈 popf:将16位标志寄存器EFLA...
popfd指令_汇编语言PUSH和POP指令(压栈和出栈)
weixin_39624980的博客
12-19 1283
汇编里把一段内存空间定义为一个栈,栈总是先进后出,栈的最大空间为 64K。由于 "栈" 是由高到低使用的,所以新压入的数据的位置更低,ESP 中的指针将一直指向这个新位置,所以 ESP 中的地址数据是动态的。PUSH 指令PUSH 指令首先减少 ESP 的值,再将源操作数复制到堆栈。操作数是 16 位的,则 ESP 减 2,操作数是 32 位的,则 ESP 减 4。PUSH 指令有 3 种格式:P...
[转载] 利用pushfd/popfd检测虚拟机cpu模拟器
qq_26950893的博客
09-25 251
执行popfd前: EFLAGS = 00200202 [ESP] = FFFFFAFF 执行popfd后: EFLAGS = 00244AD7 不等于[ESP]中的FFFFFAFF,什么原因导致的呢? POPFD不是简单把[ESP]赋值给EFLAGS 某些虚拟机CPU模拟器)简单的把[ESP]值pop给了ELF,导致popfd后-》再pushfd-》再pop出来的值是相同的,实际如上,应该是不同的,popfd只对某些位有影响。 这应该算是某些CPU模拟器的BUG. ...
Delphi 编成读取Cpu序列号
03-12
在 Delphi 代码中,可以定义一个函数来检测 CPU 是否支持 CPUID 指令,如下: ```delphi function IsCPUID_Available : Boolean; register; asm PUSHFD {direct access to flags no possible, only via stack} ...
第58章-EXECryptor v2.2.50.h脱壳1
08-03
在正常情况下,OD(OllyDbg)加载时,入口点处的栈顶指针应与OEP处保持一致,除非某些壳如EXECryptor利用TLS(Thread Local Storage)在入口点前执行代码,导致ESP值不同。 在尝试模拟执行PUSH EBP指令后,我们观察...
汇编语言学习资料[归类].pdf
10-29
标志寄存器传送指令如LAHF和SAHF用于处理标志位,PUSHF/PUSHFD和POPF/POPFD则用于标志寄存器的入栈和出栈,方便进行条件判断和流程控制。类型转换指令如CBW、CWD和CDQ用于在不同宽度的数据间转换,以适应不同的运算...
8088 汇编速查手册
10-22
- **PUSHFD/POPFD**:对32位标志寄存器执行同样的功能。 #### 5. 算术逻辑指令 算术逻辑指令是汇编语言的核心部分,用于执行基本的算术和逻辑运算: - **ADD/SUB/MUL/DIV**:执行加、减、乘、除运算。 - **INC/...
pyfasm:FASM 的 Python 包装器
06-04
pyfasm FASM 的 Python 包装器 这个包装器只适用于 python x86作为为 x86 编译的 fasm.dll... pushfd pushad popad popfd """ bytecode = pyfasm . assemble ( __asm ) print ( bytecode ) > b'f \x9c f`faf \x9d '
popfd指令_2. PUSH 和 POP 指 令 3
weixin_39525255的博客
12-29 1136
2. PUSH 和 POP 指 令 3 PUSHFDPOPFD 指 令 • 32 位 程 序 : • PUSHFD 指 令 在 堆 栈 上 压 入 32 位 的 EFLAGS 寄 存 器 的 值 。 • POPFD 指 令 将 堆 栈 顶 部 的 值 弹 出 并 送 至 EFLAGS 寄 存 器 。 • 实 地 址 模 式 程 序 : • PUSHF 指 令 在 堆 栈 上 压 入 16 位...
使用易备数据备份软件,践行虚拟机最佳备份方案
sanyuan7783的博客
07-26 555
新的关键业务应用程序有助于为容器和容器化工作负载赋予更大动力。但是,在可预见的未来,虚拟机的应用仍会普遍存在。容器和虚拟机可以很好地协同工作,适用于大多数关键的 IT 基础设施。因此,备份虚拟机及其包含的数据、服务和应用程序仍然是企业至关重要的任务。本文以 VMware vSphere 虚拟机为例,介绍虚拟机备份的最佳实践方法。
虚拟机迁移报错:虚拟机版本与主机“x.x.x.x”的版本不兼容
qq_44451165的博客
07-22 273
2.例如从10.0.128.13的ESXi上迁移到10.0.128.11的ESXi上。点击10.0.128.10上的任意一台虚拟机,查看虚拟机版本。1.虚拟机在VCenter上从一个ESXi迁移到另一个ESXi上时报错:虚拟机版本与主机“x.x.x.x”的版本不兼容。8.修改vmx文件,将virtualHW.version改为第2步查看到的虚拟机版本。10.登录到ESXi页面上,进行对应存储目录下,找到修改后的vmx的文件。6.进入到存储所在路径。5.SSH登录到虚拟机所在的ESXi上,确认存储所在路径。
AccessLog| 一款开源的日志分析系统
最新发布
ClkLog的博客
07-26 323
系统采用Java语言、搭配OLAP数据库,涵盖基本web日志分析,同时提供性能分析,帮助高效运维
DNS反向解析、多域名解析、时间服务器相关配置
qq_74793290的博客
07-24 460
DNS反向解析、多域名解析、时间服务器
下列指令的操作是什么?(a)PUSHAX(b)POPESI(c)PUSH[BX](d)PUSHFD(e)POPDS(f)PUSHD4
05-14
(a)PUSHAX:将AX寄存器中的值压入栈中。...(d)PUSHFD:将标志寄存器中的值压入栈中。 (e)POPDS:将栈顶的值弹出并存入DS寄存器中。 (f)PUSHD4:将EAX、EBX、ECX、EDX寄存器中的值依次压入栈中,压栈顺序是从高到低。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值