Why does the compiler generate a MOV EDI, EDI instruction at the beginning of functions?

最新推荐文章于 2021-10-18 22:23:59 发布

小蚂蚁_CrkRes

最新推荐文章于 2021-10-18 22:23:59 发布

阅读量498

点赞数 1

分类专栏：汇编语言

汇编语言专栏收录该内容

25 篇文章 4 订阅

订阅专栏

Why does the compiler generate a MOV EDI, EDI instruction at the beginning of functions?
为何编译器在函数开始处，生成MOV EDI,EDI指令?

I’ve recently noticed that on the XPSP2 Beta that I am running the function prologs look like this:

我最近注意到 XP sp2测试版当我运行函数的时候，开端如下：

MOV EDI, EDI

PUSH EBP

MOV EBP, ESP

The PUSH EBP and MOV EBP, ESP instructions are standard frame establishment, but what is the purpose of the MOV EDI,EDI instruction? Seems like a 2-byte NOP instruction.

PUSH EBP 和 MOV EBP,ESP指令是标准框架建立，但是MOV EDI,EDI指令的目的是什么？

看起来像是2字节的NOP指令。

MOV EDI,EDI is indeed a 2-byte no-op that is there to enable hot-patching.

MOV EDI,EDI 确实是2字节的NOP 用来实现hot-patching技术。

It enables the application of a hot-fix to a function without a need for a reboot, or even a restart of a running application.

它确保了程序可以热修复一个函数不需要重启，甚至不需要重新开启一个运行的程序。

Instead, at runtime, the 2-byte NOP is replaced by a short jump to a long jump instruction that jumps to the hot-fix function.

相反，在运行时，2字节的NOP 被替换成一个短跳到一个长跳指令来热修复函数。

A 2-byte instruction is required so that when patching the instruction pointer will not point in a middle of an instruction.

这个2字节指令要求当打指令补丁的时候不要指向一个中间指令。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

小蚂蚁_CrkRes

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

RuntimeError: The current installed version of g++ (4.8.5) is less than the mininum version CUDA解决方案

weixin_43178406的博客

06-06

8万+

本文主要介绍了RuntimeError: The current installed version of g++ (4.8.5) is less than the mininum version CUDA解决方案，希望能对学习python的同学们有所帮助。文章目录 1. 问题描述 2. 解决方案

error “You‘re trying to build PyTorch with a too old version of GCC. We need GCC 9 or later.解决方案

最新发布

weixin_43178406的博客

04-26

6万+

本文主要介绍了error "You’re trying to build PyTorch with a too old version of GCC. We need GCC 9 or later.解决方案，希望能对使用PyTorch的同学们有所帮助。文章目录 1. 问题描述 2. 解决方案

参与评论您还未登录，请先登录后发表或查看评论

关于MOV EDI,EDI

功夫牛的专栏

01-22

1145

最近在逆向一个程序，以前倒是没有怎么注意。无论在OD,还是在ida里面，进入一个子程序后会发现有这样三句代码： MOV EDI, EDI PUSH EBP MOV EBP, ESP第二句和第三句的意思相信不用多说，就是第一句 mov edi，edi。于是查了资料说法不一，在http://blogs.msdn.com/ishai/archive

函数开始处的MOV EDI, EDI的作用

jcwKyl的专栏

12-24

8108

调试程序调试到系统库函数的代码时，总会发现系统函数都是从一条MOV EDI, EDI指令开始的，紧接着这条指令下面才是标准的建立函数局部栈的代码。对系统DLL比如ntdll.dll进行反汇编，可以发现它的每个导出函数都是如此，并且每个导出函数开始处的MOV EDI, EDI上面紧接着5条NOP指令。比如在WinDbg中查看TextOutA周围的代码： 0:000> u TextOutA-0x0a

函数调用之mov edi, edi

HUA的专栏

12-14

1666

很多函数前面几个指令都是下面这样： mov edi, edi push ebp mov ebp, esp 第一行指令，是不是没用呢？你还会在上面发现5个没用的nop 这样的做法是方便做hook，比如你要挂钩这个函数，你可以用一个2字节的短jmp（eb xx）转移到那5个nop那里，然后在那5个nop那里做一个大的jmp(e9 xx xx xx x

mov edi,edi和Hot Patching详解

linuxheik的专栏

06-19

1191

mov edi,edi和Hot Patching的一点解释 2011年7月13日代码疯子发表评论阅读评论最近发现不少函数开头都有mov edi,edi这样的指令，正好在《Advanced Windows Debugging》一书中看到了一点解释。书上说是为了Hot Patching，网上也有这样的解释。不过网上的解释有两种情况，一种是函数开头有mov edi, e

MOV EDI,EDI指令的解释（整理）

绝迹·危言的专栏

11-24

7860

XP系统程序中开头的MOV EDI,EDI指令的解释：在VS .NET 2003的VC7\INCLUDE目录中的listing.inc文件中定义了１到７个字节的无破坏性NOP操作的宏 MOV EDI,EDI　就是两个字节的NOP 在程序中与NOP指令的意义相同。为什么要用MOV EDI,EDI 而不用两个NOP? 我的理解是：用两个NOP指令耗费的CPU时钟周期

Java Maven项目文件红叉叉(The compiler compliance specified is 1.6 but a JRE 1.8 is used) java编译报错

luckjump的博客

06-28

5854

Java Maven项目文件红叉叉(The compiler compliance specified is 1.6 but a JRE 1.8 is used)java编译报错在导入Maven项目或其他java项目时，总是不会那么一帆风顺，碰到最多的就是编译报错问题(java文件到处都是“红叉叉”) 下面对此类问题做一个详细解决方法。当出现java文件报错（红叉叉），请按照如下几个步骤一一对...

解决java compiler level does not match the version of the installed java project facet

我驾驶汽车从不是为了从A点到达B点，我喜欢去感受汽车，与之交流，与之融为一体。

09-15

4312

解决java compiler level does not match the version of the installed java project facet: 在资源管理器下，找到项目所在的目录，在.settings子目录里面，用记事本开org.eclipse.wst.common.project.facet.core.xml配置文件，找到<installed face...

CMake Error at CMakeLists.txt:5 (PROJECT): The CMAKE_C_COMPILER: cl is not a full path

qq_40604853的博客

04-17

3万+

报错： - Building for: NMake Makefiles -- The C compiler identification is unknown -- The CXX compiler identification is unknown CMake Error at CMakeLists.txt:5 (PROJECT): The CMAKE_C_COMPILER: c...

函数开始处的MOV EDI, EDI的作用收藏

linuxheik的专栏

06-19

1071

函数开始处的MOV EDI, EDI的作用收藏 BYTE JMP[10] = {0x8b,0xFF, 0x55, 0x8b, 0xEC, 0xE9, 0x00, 0x40/0x00, 0x00, 0x00}; Posted on 2009-04-01 11:19 S.l.e!ep.￠% 阅读(631) 评论(0) 编辑收藏引用所属分类: Reverse Engineerin

为什么会有mov edi, edi?(转）

u012129783的博客

08-13

550

原来一直被windows上的一些固定汇编指令搞的有点糊涂, 各种说法其实都有, 比如这个mov edi, edi. 实际这个指令是干什么用的呢? 每个人都有不同的说法, 今天了解到一种比较靠谱的说法!在VS的安装目录中的listing.inc文件中定义了１到７个字节的无破坏性NOP操作的宏MOV EDI,EDI　就是两个字节的NOP在程序中与NOP指令的意义相同。为什么要用MOV EDI,EDI

热补丁：为什么Windows API都以无意义的 mov edi,edi 开头？

CodeBowl的博客

10-18

457

为什么Windows函数都以无意义的MOVEDI、EDI指令开始？我们参考Windows 的反汇编，返现函数的开始都是以mov edi，edi，它看似毫无意义(该指令将寄存器复制到自己，并没有更新标志；这是完全没有意义的。) 原因是：这是故意设计的热补丁(hot-patching)。热补丁这个MOV EDI, EDI指令是两个字节。NOP，这仅够在跳转指令中进行修补，以便可以动态更新函数，即运行时修改一个函数的行为。修改过程如下：把MOV EDI, EDI修改为一条短跳转指令(一条短跳转指令恰好

Move EDI, EDI的作用

weixin_34010566的博客

01-01

169

玩WinDBG的时候, 发现函数的反汇编代码的最开始部分总是包含一条move edi, edi的指令. 比如下面的代码static unsigned int __stdcall Fibonacci_stdcall(unsigned int n) { switch(n) { case 0: STOP_ON_DEBUGGER;return 0; ...

Win32API起始处的mov edi, edi与用户空间InlineHook

weixin_30508309的博客

09-29

126

在x86平台上，无论是在调试器中跟到系统DLL中时，还是反汇编某个系统DLL时，经常会发现很多API的第一条汇编指令都是mov edi, edi。根据经验来讲，C函数的汇编形式，应该是首先push ebp保存原始栈顶，然后mov ebp, esp构造新的栈帧，接下来sub esp, 0nnh分配局部变量空间，之后就是函数体了，结束时先mov esp, ebp恢复栈指针，然后pop ebp恢复栈顶指...