|
请问 x64下 jmp far 的Opcode 如何计算?
我编译了 FF 04 11 22 33 44 55 66 77 88 结果是: incl (%rcx,%rdx,1) and (%rbx),%dh rex.R push %rbp data 16 ja 0x100000b34 木有出现传说中的 jmp XX XX XX XX XX XX XX XX |
|
[调查]看雪安全网站与北京邮电大学合办信息安全研究生班调查
贵了点 不知道有木有奖学金什么的 还有究竟和 北邮是什么关系 ,(最近爆发了各种学位门事件。。。你们懂的 还有他的模式是怎样的?导师制?项目? 不好意思啊,问出的问题比较多。。。 |
|
请问 x64下 jmp far 的Opcode 如何计算?
好吧 这个问题问的没有什么意义了 真相在这里 2.2.1.5 Immediates In 64-bit mode, the typical size of immediate operands remains 32 bits. When the operand size is 64 bits, the processor sign-extends all immediates to 64 bits prior to their use. Support for 64-bit immediate operands is accomplished by expanding the semantics of the existing move (MOV reg, imm16/32) instructions. These instructions (opcodes B8H – BFH) move 16-bits or 32-bits of immediate data (depending on the effective operand size) into a GPR. When the effective operand size is 64 bits, these instruc- tions can be used to load an immediate into a GPR. A REX prefix is needed to override the 32-bit default operand size to a 64-bit operand size. For example: 48 B8 8877665544332211 MOV RAX,1122334455667788H Intel指令集手册中给出了答案 说 如果要使用 64位的立即操作数 必须使用寄存器来实现。。 即 mov rax,1234567812345678h jmp rax 这个 Opcode 总是好办的 48是REX Prefix,其中 4为固定值 ,8表示启用 64位寄存器扩展 B8是 mov rax,xxxx 的Opcode 剩下来就不解释了。。。 jmp rax的Opcode 为0xFF 0xE0 但是比较杯具的是 这两行代码足足用了12个字节。。。 太纠结了。。 |
|
|
|
请问 x64下 jmp far 的Opcode 如何计算?
来补充一下问题 我们都知道 x86 架构下 jmp far 可以跳前后 2G的空间 在Windows 下一般是足够使用的 所以 可以直接写 0xE9 0xXXXXXXXX 然而这种方法到 x64上是不行的,所以想问一下x64下 想跳转到任意一个地址应该如何写Opcode? |
|
[转帖]Hex-Rays.IDA.Professional.v6.1-UNiQUE
诡异的木有发现 IDAq64.exe 不知道神马情况? |
|
[求助]程序一拖到OD马上OD就消失了
Anti... |
|
[求助]问一个od的基础问题,保存文件
用 OD Advance 插件开 总是打开保存所有修改 选项。 |
|
|
|
[求助]最近学习驱动SSDT HOOK遇到的麻烦
1、编译通过不代表能调试通过,用删除有效代码的方法来通过编译是不对的 2、KeServiceDescriptorTable是要从系统内核导入的常数。 所以要这样写 __declspec(dllimport) ServiceDescriptorTableEntry KeServiceDescriptorTable; |
|
|
|
[原创]vc6如何修改正在执行的文件内容原理跟踪
VC会重新生成... 看 调试输出的窗口就知道。 结束原来那个,然后打开新的... 我是VS 2008 如果直接修改代码,正在运行的程序是不会有什么变化的, 如果要保存,会先中断正在运行的程序,然后记录下正在运行程序的EIP 然后重新生成代码,重新运行到EIP, 当然这只是根据VC的输出信息得到的,我估计Windows不会允许在Ring3下直接修改正在运行的程序 PS:除了RK的Runtime Patch. |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值