[原创]x86指令编码格式解析-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]x86指令编码格式解析

发表于: 2011-5-8 18:32 27098

[原创]x86指令编码格式解析

dkxzl

2011-5-8 18:32

27098

提到编码，只要学过一点汇编的人都应该知道一些常用的汇编指令的编码，比如：B8 78 56 34 12，一看到B8就知道对应的汇编指令是MOV EAX，0X12345678 占用5字节，一看到E8就知道是E8后面跟的是JMP的4字节偏移，一见90就知道是NOP，因为这些指令都很常用，编码也都很简单，想必大家对这些指令编码都熟记于心了。如果提到 MOV EBX，XXXXXXXX MOV ECX，XXXXXXX这些指令也许大家对指令编码就不怎么记得了，因为X86的编码太多了，要把他全记住那可不是件容易的事。其实要把X86的编码指令记住并不是件难事，因为X86编码指令看似复杂庞大，其实这大部分编码有是有规律可寻的。

在这里先说组寄存器：

0 1 2 3 4 5 6 7

EAX ECX EDX EBX ESP EBP ESI EDI

0 1 2 3 4 5 6 7

AL CL DL BL AH CH DH BH

不知道各位同学当年学汇编的时候寄存器是不是按这个顺序记的，如果是按这个顺序记住的话，接下来讲的编码你可能一看就记住了

B8是MOV EAX 大家都很清楚的记得，那么B9呢？B9就是MOV ECX ，BA MOV EDX 聪明的同学应该很快的看出规律出来了吧！BB 是MOV EBX ，BC是MOV ESP 一直到BF 是MOV EDI

B0是MOV AL,XX 2字节立即数，对照上面的表格，大家应该很容易的说出B1是MOV CL，XX，一直到B7是MOV BH，XX

90是NOP大家都知道，其实他的真正编码指令是XCHG EAX，EAX，91 XCHG EAX，ECX 一直到97 XCHG EAX，EDI

40到47是INC EAX 到 INC EDI ，48到4F是DEC EAX到DEC EDI

50到57是PUSH EAX 到 PUSH EDI ，58到 5F是 POP EAX 到 POP EDI

现在对于这一类的指令编码，大家是不是感觉记起来轻松了

对内存访问的指令在汇编中也经常出现，现在在说说这些指令的编码格式

ADD OR ADC SBB AND SUB XOR CMP

ES CS SS DS

DAA DAS AAA AAS

就跟上面我说的寄存器一样先按顺序记下这些东西再说

要讲对内存访问的编码就不得不先说说X86通用的编码指令格式

上图参考INTEL开发手册卷二，想具体了解的可以去参考下，看不懂英文的，论坛的翻译版块有部分章节的翻译。大家可以去找找

Opcode（操作码），之前所说的B8 XX XX XX XX指令B8就代表Opcode（操作码），之后跟的是4字节的Immediate (立即数),一看到B8开头的编码，就要知道B8代表Opcode，后面带有4字节Immediate的属性

在举个列子，B0 XX，B0代表 Opcode，后面带有1字节Immediate的属性

00 是ADD EB，GB （EB代表1字节内存，GB代表8位寄存器）

碰到00编码，00代表着Opcode（操作码），后面的第2个1字节编码就代表着ModR/M

编码对应的汇编指令

ModR/M字节的二进制6 7位MOD为0

00 00 ADD BYTE PTR DS:[EAX],AL

00 01 ADD BYTE PTR DS:[ECX],AL

。。。。。

00 07 ADD BYTE PTR DS:[EDI],AL

00 08 ADD BYTE PTR DS:[EAX],CL

。。。。

00 0F ADD BYTE PTR DS:[EDI],CL

00 10 ADD BYTE PTR DS:[EAX],DL

。。。。

00 3F ADD BYTE PTR DS:[EDI],BH

ModR/M字节的二进制6 7位MOD为1，第三个编码为1字节Displacement

00 40 XX ADD BYTE PTR DS:[EAX+XX],AL

00 41 XX ADD BYTE PTR DS:[ECX+XX],AL

。。。。

00 7F XX ADD BYTE PTR DS:[EDI+XX],BH

ModR/M字节的二进制6 7位MOD为2, 从第三个编码开始为4字节Displacement

00 80 XX XX XX XX ADD BYTE PTR DS:[EAX+XXXXXXXX],AL

00 81 XX XX XX XX ADD BYTE PTR DS:[ECX+XXXXXXXX],AL

00 BF XX XX XX XX ADD BYTE PTR DS:[EDI+XXXXXXXX],BH

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

instruction.jpg （36.58kb，505次下载）

收藏・20

免费・7

支持

最新回复 (22)
rerefrancd 雪币： 314 活跃值： (271) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 153 粉丝 5 关注私信	rerefrancd 1 2 楼前排站位,顶起 2011-5-8 18:46 0
枫叶飘雪币： 37 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 191 粉丝 0 关注私信	枫叶飘 3 楼不错可以做参考 2011-5-8 19:00 0
winddyj 雪币： 578 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 167 粉丝 0 关注私信	winddyj 4 楼楼主总结的很透彻 2011-5-8 19:13 0
dkxzl 雪币： 287 活跃值： (593) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 27 关注私信	dkxzl 1 5 楼在上传个反汇编引擎的代码给大家参考下，代码不全，只写了文中讲过的编码指令上传的附件： disasm.rar （9.67kb，58次下载） 2011-5-8 19:22 0
超然雪币： 422 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 86 粉丝 3 关注私信	超然 3 6 楼挺好的顶 2011-5-8 19:59 0
dkxzl 雪币： 287 活跃值： (593) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 27 关注私信	dkxzl 1 7 楼孙大牛相顶倍感荣幸 2011-5-8 20:16 0
moasm 雪币： 45 活跃值： (51) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 52 粉丝 4 关注私信	moasm 8 楼学长威武~~~ 2011-5-8 20:24 0
leeone 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	leeone 9 楼妈的，实在太棒了 2011-5-8 20:38 0
angustao 雪币： 56 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	angustao 10 楼你怎么学这么深啊，你那切的图是是什么资料啊。。这么强 2011-5-8 21:03 0
nfgfgo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 124 粉丝 0 关注私信	nfgfgo 11 楼学的时候被那些指令格式吓到，其实每条指令的Opcode才是最重要的，后面他是倒着放都没关系，只要你的CPU够强劲。 2011-5-8 21:29 0
SJQIANG 雪币： 179 活跃值： (26) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 231 粉丝 0 关注私信	SJQIANG 2 12 楼收藏,备用。感谢楼主 2011-5-8 21:40 0
niling 雪币： 80 活跃值： (292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	niling 13 楼嘿嘿，强烈支持！顺便把漏掉的功课补上！ 2011-5-8 22:12 0
yankun 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	yankun 14 楼非常好的学习笔记 2011-5-8 22:23 0
ronglei 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ronglei 15 楼 **... 写的不错..打这么多字,挺辛苦. 2011-5-8 22:38 0
dkxzl 雪币： 287 活跃值： (593) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 27 关注私信	dkxzl 1 16 楼新手求精华鼓励 2011-5-8 22:48 0
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 17 楼无法下载？？？失效。。。 2011-5-9 00:50 0
dkxzl 雪币： 287 活跃值： (593) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 27 关注私信	dkxzl 1 18 楼重新传了份 2011-5-9 07:45 0
hidden米雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 108 粉丝 0 关注私信	hidden米 19 楼写的不错..打这么多字,挺辛苦 2011-5-9 13:30 0
willapple 雪币： 7365 活跃值： (1330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 145 粉丝 0 关注私信	willapple 20 楼正在学习中！向楼主致敬！ 2011-5-9 14:45 0
loveugene 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	loveugene 21 楼很不错，值得学习一下 2011-5-10 09:05 0
千年一诺雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	千年一诺 22 楼在学80X86汇编呢都是英文指令要用16进制来表示么？难道要手写十六进制代码汇编啊·· 2011-5-11 16:23 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 23 楼帮黑哥顶起，大力顶起 2011-5-18 09:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

dkxzl

发帖

269

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
rerefrancd 雪币： 314 活跃值： (271) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 153 粉丝 5 关注私信	rerefrancd 1 2 楼前排站位,顶起 2011-5-8 18:46 0
枫叶飘雪币： 37 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 191 粉丝 0 关注私信	枫叶飘 3 楼不错可以做参考 2011-5-8 19:00 0
winddyj 雪币： 578 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 167 粉丝 0 关注私信	winddyj 4 楼楼主总结的很透彻 2011-5-8 19:13 0
dkxzl 雪币： 287 活跃值： (593) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 27 关注私信	dkxzl 1 5 楼在上传个反汇编引擎的代码给大家参考下，代码不全，只写了文中讲过的编码指令上传的附件： disasm.rar （9.67kb，58次下载） 2011-5-8 19:22 0
超然雪币： 422 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 86 粉丝 3 关注私信	超然 3 6 楼挺好的顶 2011-5-8 19:59 0
dkxzl 雪币： 287 活跃值： (593) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 27 关注私信	dkxzl 1 7 楼孙大牛相顶倍感荣幸 2011-5-8 20:16 0
moasm 雪币： 45 活跃值： (51) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 52 粉丝 4 关注私信	moasm 8 楼学长威武~~~ 2011-5-8 20:24 0
leeone 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	leeone 9 楼妈的，实在太棒了 2011-5-8 20:38 0
angustao 雪币： 56 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	angustao 10 楼你怎么学这么深啊，你那切的图是是什么资料啊。。这么强 2011-5-8 21:03 0
nfgfgo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 124 粉丝 0 关注私信	nfgfgo 11 楼学的时候被那些指令格式吓到，其实每条指令的Opcode才是最重要的，后面他是倒着放都没关系，只要你的CPU够强劲。 2011-5-8 21:29 0
SJQIANG 雪币： 179 活跃值： (26) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 231 粉丝 0 关注私信	SJQIANG 2 12 楼收藏,备用。感谢楼主 2011-5-8 21:40 0
niling 雪币： 80 活跃值： (292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	niling 13 楼嘿嘿，强烈支持！顺便把漏掉的功课补上！ 2011-5-8 22:12 0
yankun 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	yankun 14 楼非常好的学习笔记 2011-5-8 22:23 0
ronglei 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ronglei 15 楼 **... 写的不错..打这么多字,挺辛苦. 2011-5-8 22:38 0
dkxzl 雪币： 287 活跃值： (593) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 27 关注私信	dkxzl 1 16 楼新手求精华鼓励 2011-5-8 22:48 0
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 17 楼无法下载？？？失效。。。 2011-5-9 00:50 0
dkxzl 雪币： 287 活跃值： (593) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 27 关注私信	dkxzl 1 18 楼重新传了份 2011-5-9 07:45 0
hidden米雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 108 粉丝 0 关注私信	hidden米 19 楼写的不错..打这么多字,挺辛苦 2011-5-9 13:30 0
willapple 雪币： 7365 活跃值： (1330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 145 粉丝 0 关注私信	willapple 20 楼正在学习中！向楼主致敬！ 2011-5-9 14:45 0
loveugene 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	loveugene 21 楼很不错，值得学习一下 2011-5-10 09:05 0
千年一诺雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	千年一诺 22 楼在学80X86汇编呢都是英文指令要用16进制来表示么？难道要手写十六进制代码汇编啊·· 2011-5-11 16:23 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 23 楼帮黑哥顶起，大力顶起 2011-5-18 09:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复