[原创]VS2005与windbg反汇编的BUG-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]VS2005与windbg反汇编的BUG

发表于: 2009-2-28 11:27 9105

[原创]VS2005与windbg反汇编的BUG

likunkun

2009-2-28 11:27

9105

最近在写X64反汇编，由于X64没有普及没有多少成熟的反汇编引擎。相信微软就用它的VS2005和最新的Windbg
于是发现：
opcode:636362
经查Intel手册它应被反汇编为：movsxd rsp, qword ptr [rbx + 62h]

而VC与Windbg的反汇编结果为:movsxd esp dword ptr [rbx + 62h]

没有可靠的对照了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

intel.jpg （42.06kb，254次下载）
windbg.JPG （250.41kb，256次下载）
VS2005.JPG （197.97kb，254次下载）

收藏・1

免费・0

支持

最新回复 (10)
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 2 楼看注释。相信MS没有错的 2009-2-28 18:11 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 3 楼 LZ搞错了，应该是 movsxd esp, dword ptr [rbx + 62h] 2009-2-28 18:34 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 4 楼我顶楼上的,读了手册,理解为此指令默认op1为32bit,如果要rsp,加前缀. 所以ms正确, movsxd esp, dword ptr [rbx + 62h] 2009-2-28 18:46 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 5 楼哈，光看描述了.....以为源操作数就一定是64位的。明白了....多谢谢楼上三位. 今天又找了disorm的反汇编和源代码看了一下： 0000000000000000 (03) 6363 62 MOVZXD RSP, [RBX+0x62] 0000000000000003 (04) 48 6363 62 MOVSXD RSP, [RBX+0x62] 他的想法是对的，不过操作数大小方面好像也有问题。相信微软没错的 2009-2-28 22:10 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 6 楼 LS还是打错了 0000000000000000 (03) 6363 62 MOVZXD ESP, [RBX+0x62] 2009-3-1 21:02 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 7 楼有钱人玩64位穷人玩8位 2009-3-1 22:56 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 8 楼 [QUOTE=海风月影;585618]LS还是打错了 0000000000000000 (03) 6363 62 MOVZXD ESP, [RBX+0x62][/QUOTE] 那是distorm的输出结果.. 2009-3-2 10:02 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 9 楼 64位的CPU一抓一大把，8位的反而不好买了楼上说反喽.... 2009-3-2 10:09 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 10 楼原来64位反汇编引擎差异这么大啊下面出自udis86 00401000 636362 movsxd esp, dword [rbx+0x62] 00401003 48636362 movsxd rsp, dword [rbx+0x62] 2009-3-2 10:24 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 11 楼多谢我也下一个去 2009-3-2 15:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

likunkun

发帖

283

回帖

RANK

关注

私信

他的文章

[原创]北京科锐同学第一次聚会 15451
第一题答案 3371
[推荐]精通.NET互操作:P/Invoke,C++ Interop和COM Interop 4551
[讨论]VS2005反汇编的疑问 4256
[原创]VS2005与windbg反汇编的BUG 9106

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 2 楼看注释。相信MS没有错的 2009-2-28 18:11 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 3 楼 LZ搞错了，应该是 movsxd esp, dword ptr [rbx + 62h] 2009-2-28 18:34 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 4 楼我顶楼上的,读了手册,理解为此指令默认op1为32bit,如果要rsp,加前缀. 所以ms正确, movsxd esp, dword ptr [rbx + 62h] 2009-2-28 18:46 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 5 楼哈，光看描述了.....以为源操作数就一定是64位的。明白了....多谢谢楼上三位. 今天又找了disorm的反汇编和源代码看了一下： 0000000000000000 (03) 6363 62 MOVZXD RSP, [RBX+0x62] 0000000000000003 (04) 48 6363 62 MOVSXD RSP, [RBX+0x62] 他的想法是对的，不过操作数大小方面好像也有问题。相信微软没错的 2009-2-28 22:10 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 6 楼 LS还是打错了 0000000000000000 (03) 6363 62 MOVZXD ESP, [RBX+0x62] 2009-3-1 21:02 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 7 楼有钱人玩64位穷人玩8位 2009-3-1 22:56 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 8 楼 [QUOTE=海风月影;585618]LS还是打错了 0000000000000000 (03) 6363 62 MOVZXD ESP, [RBX+0x62][/QUOTE] 那是distorm的输出结果.. 2009-3-2 10:02 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 9 楼 64位的CPU一抓一大把，8位的反而不好买了楼上说反喽.... 2009-3-2 10:09 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 10 楼原来64位反汇编引擎差异这么大啊下面出自udis86 00401000 636362 movsxd esp, dword [rbx+0x62] 00401003 48636362 movsxd rsp, dword [rbx+0x62] 2009-3-2 10:24 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 11 楼多谢我也下一个去 2009-3-2 15:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复