首页
社区
课程
招聘
[求助] 汇编代码识别
发表于: 2020-1-27 18:20 2903

[求助] 汇编代码识别

2020-1-27 18:20
2903
//mov rax, qword ptr ds:[0xFFFFF8016C626E48]
//0x48,0x8B,0x05,0x6D,0xA9,0xA9,0xFF,

================32位这样是正确的
8B转换成二进制 ‭‭10 001 011‬ 
Mod =10   
Reg/Opcode=001   //但是这个  怎么成了 rax的?  001 查表不是rcx吗?
R/M=011

//查了下资料
0x48//在x64下 加了一个 REX (re Extend 扩展)
0x8B//操作码
0x05// 这里才是 ModR/M
Mod=00
Reg/Opcode=000 
R/M=101 //难不成 这个rip寻址 都是 101?

//  mov             qword ptr [rip - 0x52954d],rcx
//48 89 0D B3 6A AD FF 


0x48//在x64下 加了一个 REX (re Extend 扩展)
0x8B//操作码
0x05// 这里才是 ModR/M
Mod=00
Reg/Opcode=001    
R/M=101   //难不成 这个rip寻址 都是 101?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2020-1-27 20:20 被~时光荏苒编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 3148
活跃值: (244)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
只看了第一个例子:
第一行 mov rax, qword ptr ds:[0xFFFFF8016C626E48]
这条x64汇编的十六进制应该是
0x48, 0xA1, 0x48, 0x6E, 0x62, 0x6C, 0x01, 0xF8, 0xFF, 0xFF
等价于
movabs rax,ds:0xFFFFF8016c626e48
而这第二行0x48,0x8B,0x05,0x6D,0xA9,0xA9,0xFF的64位反汇编是
mov  rax,qword ptr [rip+0xFFFFFFFFFFa9a96d]
如果是32位的话,就是两条
dec  eax
mov    eax,dowrd ptr ds:[0xFFa9a96d]
2020-1-28 10:17
0
游客
登录 | 注册 方可回帖
返回
//