关于OD调试Jmp指令的问题,请前辈解释一下!-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
thebutterfly 雪币： 291 活跃值： (213) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 2 楼直接的jmp分3种 Short Jump（短跳转）机器码 EB rel8 只能跳转到256字节的范围内 Near Jump（近跳转）机器码 E9 rel16/32 可跳至同一个段的范围内的地址 Far Jump（远跳转）机器码EA ptr 16:16/32 可跳至任意地址，使用48位/32位全指针要注意的是，短跳转和近跳转指令中包含的操作数都是相对于(E)IP的偏移，而远跳转指令中包含的是目标的绝对地址，所以短/近跳转会出现跳至同一目标的指令机器码不同，不仅会不同，而且应该不同。而远跳转中包含的是绝对地址，因此转移到同一地址的指令机器码相同 2006-8-20 03:18 0
nig 雪币： 414 活跃值： (531) 能力值： ( LV9，RANK：170 ) 在线值：发帖 38 回帖 1444 粉丝 13 关注私信	nig 4 3 楼最初由 aliswings* 发布* 有2个问题, 1.用od调试的时候,我发现jmp指令的机器码(Hex 数据)不唯一,比如说 jmp 00485ada 对应的机器码每次都不一样, 004A2FCE ^ E9 072BFEFF jmp 00485ADA 004A2FD3 ^ E9 022BFEFF jmp 00485ADA ........ 下面的指令是这样计算偏移的. 004A2FCE ^ E9 072BFEFF jmp 00485ADA ======== 485ADA-4A2FCE= FFFE2B0C 这里只是指向当前指令的IP处,实际计算跳转地址要去掉当前指令的长度,当前的跳转指令需要5个字节,FFFE2B0C-5=FFFE2B07 注意颠倒顺序,高位在后,就是了. 以下同. 004A2FD3 ^ E9 022BFEFF jmp 00485ADA 2006-8-20 18:09 0
WAKU 雪币： 179 活跃值： (131) 能力值： ( LV12，RANK：290 ) 在线值：发帖 32 回帖 501 粉丝 0 关注私信	WAKU 7 4 楼有一个叫opcoder的程序,可以计算跳转对应的机器码 2006-8-20 18:12 0
thebutterfly 雪币： 291 活跃值： (213) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 5 楼最初由 nig* 发布* 下面的指令是这样计算偏移的. 004A2FCE ^ E9 072BFEFF jmp 00485ADA ======== 485ADA-4A2FCE= FFFE2B0C 这里只是指向当前指令的IP处,实际计算跳转地址要去掉当前指令的长度,当前的跳转指令需要5个字节,FFFE2B0C-5=FFFE2B07 ........ 补充一句，因为(E)IP总是指向下一条指令，所以相对偏移＝目标－ (E)IP 2006-8-20 19:51 0
aliswings 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	aliswings 6 楼谢谢,我研究一下! 2006-8-20 22:10 0
aliswings 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	aliswings 7 楼谢谢,我懂了! 如果我用vb向内存注入指令应该怎样写? 比如我要向内存地址444AE2中写入机器码E9 EE2AFEFF，下面的问号部分应该怎么写？谢谢`` WriteProcessMemory(phandle, ByVal &H444AE2, ????, 4, 0&) 2006-8-20 22:31 0
aliswings 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	aliswings 8 楼终于搞懂了,按字节写就可以了! 2006-8-21 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
thebutterfly 雪币： 291 活跃值： (213) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 2 楼直接的jmp分3种 Short Jump（短跳转）机器码 EB rel8 只能跳转到256字节的范围内 Near Jump（近跳转）机器码 E9 rel16/32 可跳至同一个段的范围内的地址 Far Jump（远跳转）机器码EA ptr 16:16/32 可跳至任意地址，使用48位/32位全指针要注意的是，短跳转和近跳转指令中包含的操作数都是相对于(E)IP的偏移，而远跳转指令中包含的是目标的绝对地址，所以短/近跳转会出现跳至同一目标的指令机器码不同，不仅会不同，而且应该不同。而远跳转中包含的是绝对地址，因此转移到同一地址的指令机器码相同 2006-8-20 03:18 0
nig 雪币： 414 活跃值： (531) 能力值： ( LV9，RANK：170 ) 在线值：发帖 38 回帖 1444 粉丝 13 关注私信	nig 4 3 楼最初由 aliswings* 发布* 有2个问题, 1.用od调试的时候,我发现jmp指令的机器码(Hex 数据)不唯一,比如说 jmp 00485ada 对应的机器码每次都不一样, 004A2FCE ^ E9 072BFEFF jmp 00485ADA 004A2FD3 ^ E9 022BFEFF jmp 00485ADA ........ 下面的指令是这样计算偏移的. 004A2FCE ^ E9 072BFEFF jmp 00485ADA ======== 485ADA-4A2FCE= FFFE2B0C 这里只是指向当前指令的IP处,实际计算跳转地址要去掉当前指令的长度,当前的跳转指令需要5个字节,FFFE2B0C-5=FFFE2B07 注意颠倒顺序,高位在后,就是了. 以下同. 004A2FD3 ^ E9 022BFEFF jmp 00485ADA 2006-8-20 18:09 0
WAKU 雪币： 179 活跃值： (131) 能力值： ( LV12，RANK：290 ) 在线值：发帖 32 回帖 501 粉丝 0 关注私信	WAKU 7 4 楼有一个叫opcoder的程序,可以计算跳转对应的机器码 2006-8-20 18:12 0
thebutterfly 雪币： 291 活跃值： (213) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 5 楼最初由 nig* 发布* 下面的指令是这样计算偏移的. 004A2FCE ^ E9 072BFEFF jmp 00485ADA ======== 485ADA-4A2FCE= FFFE2B0C 这里只是指向当前指令的IP处,实际计算跳转地址要去掉当前指令的长度,当前的跳转指令需要5个字节,FFFE2B0C-5=FFFE2B07 ........ 补充一句，因为(E)IP总是指向下一条指令，所以相对偏移＝目标－ (E)IP 2006-8-20 19:51 0
aliswings 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	aliswings 6 楼谢谢,我研究一下! 2006-8-20 22:10 0
aliswings 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	aliswings 7 楼谢谢,我懂了! 如果我用vb向内存注入指令应该怎样写? 比如我要向内存地址444AE2中写入机器码E9 EE2AFEFF，下面的问号部分应该怎么写？谢谢`` WriteProcessMemory(phandle, ByVal &H444AE2, ????, 4, 0&) 2006-8-20 22:31 0
aliswings 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	aliswings 8 楼终于搞懂了,按字节写就可以了! 2006-8-21 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复