- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我正在编写一个 PE 文件解析器,我已经到了想要解析和解释 PE 文件中实际代码的地步,我假设这些代码存储为 x86 操作码。
例如,DLL 中的每个导出都指向函数将存储在内存中的 RVA(相对虚拟偏移),我编写了一个函数来将这些 RVA 转换为物理文件偏移。
问题是,这些真的是操作码,还是别的东西?
函数在文件中的存储方式是否取决于编译器/链接器,或者它们是一字节还是两字节的 X86 操作码。
例如,Windows 7 DLL“BWContextHandler.dll”包含四个加载到内存中的函数,使它们在系统内可用。第一个导出函数是“DllCanUnloadNow”,它位于文件中的偏移量 0x245D 处。此数据的前四个字节是:0xA1 0x5C 0xF1 0xF2
那么这些是一字节还是两字节的操作码,还是完全不同的东西?
如果有人可以提供有关如何检查这些的任何信息,我们将不胜感激。
谢谢!
进一步阅读并通过 IDA 演示版运行文件后,我认为第一个字节 0xA1 是一个单字节操作码的说法是正确的,意思是 mov eax。我从这里得到的:http://ref.x86asm.net/geek32.html#xA1我假设它暂时是正确的。
但是,我对后面的字节如何构成指令的其余部分感到有点困惑。从我所知道的 x86 汇编程序中,一条移动指令需要两个参数,目标和源,所以该指令是将(某物)移动到 eax 寄存器中,我假设该某物位于以下字节中。但是我还不知道如何阅读这些信息:)
最佳答案
x86 编码是复杂的多字节编码,您不能像在 RISC (MIPS/SPARC/DLX) 中那样简单地在指令表中找到一行来对其进行解码。一条指令甚至可以有 16 字节编码:1-3 字节操作码 + 几个前缀(包括 multibyte VEX )+ 几个用于编码立即数或内存地址、偏移量、缩放比例(imm、ModR/M 和 SIB;moffs)的字段.有时单个助记词有几十个操作码。而且,在某些情况下,同一 asm 行可能有两种编码方式(“inc eax”= 0x40 和 = 0xff 0xc0)。
one byte opcode, meaning mov eax. I got that from here: http://ref.x86asm.net/geek32.html#xA1 and I'm assuming it is correct for the time being.
让我们看一下表格:
po ; flds ; mnemonic ; op1 ; op2 ; grp1 ; grp2 ; Description
A1 ; W ; MOV ; eAX ; Ov ; gen ; datamov ; Move ;
(提示:不要使用 geek32 表,切换到 http://ref.x86asm.net/coder32.html#xA1 - 具有较少的字段和更多的解码,例如“A1 MOV eAX moffs16/32 Move”)
有列 op1 和 op2,http://ref.x86asm.net/#column_op用于操作数。 A1 操作码的第一个始终是 eAX
,第二个 (op2) 是 Ov。根据表格http://ref.x86asm.net/#Instruction-Operand-Codes :
O / moffs Original The instruction has no ModR/M byte; the offset of the operand is coded as a word, double word or quad word (depending on address size attribute) in the instruction. No base register, index register, or scaling factor can be applied (only MOV (A0, A1, A2, A3)).
因此,在 A1 操作码之后,内存偏移量被编码。我认为 x86(32 位模式)有 32 位偏移量。
PS:如果您的任务是解析 PE 而不是发明反汇编程序,请使用一些 x86 反汇编库,例如 libdisasm 或 libudis86 或其他任何东西。
PPS:对于原始问题:
The question is, are these really opcodes, or are they something else?
是的,“A1 5C F1 F2 05 B9 5C F1 F2 05 FF 50 0C F7 D8 1B C0 F7 D8 C3 CC CC CC CC CC”是 x86 机器码。
关于windows - PE文件操作码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13763971/
我正在努力做到这一点 在我的操作中从数据库获取对象列表(确定) 在 JSP 上打印(确定) 此列表作为 JSP 中的可编辑表出现。我想修改然后将其提交回同一操作以将其保存在我的数据库中(失败。当我使用
我有以下形式的 Linq to Entities 查询: var x = from a in SomeData where ... some conditions ... select
我有以下查询。 var query = Repository.Query() .Where(p => !p.IsDeleted && p.Article.ArticleSections.Cou
我正在编写一个应用程序包,其中包含一个主类,其中主方法与GUI类分开,GUI类包含一个带有jtabbedpane的jframe,它有两个选项卡,第一个选项卡包含一个jtable,称为jtable1,第
以下代码产生错误 The nested query is not supported. Operation1='Case' Operation2='Collect' 问题是我做错了什么?我该如何解决?
我已经为 HA redis 集群(2 个副本、1 个主节点、3 个哨兵)设置了本地 docker 环境。只有哨兵暴露端口(10021、10022、10023)。 我使用的是 stackexchange
我正在 Desk.com 中构建一个“集成 URL”,它使用 Shopify Liquid 模板过滤器语法。对于开始日期为 7 天前而结束日期为现在的查询,此 URL 需要包含“开始日期”和“结束日期
你一定想过。然而情况却不理想,python中只能使用类似于 i++/i--等操作。 python中的自增操作 下面代码几乎是所有程序员在python中进行自增(减)操作的常用
我需要在每个使用 github 操作的手动构建中显示分支。例如:https://gyazo.com/2131bf83b0df1e2157480e5be842d4fb 我应该显示分支而不是一个。 最佳答
我有一个关于 Perl qr 运算符的问题: #!/usr/bin/perl -w &mysplit("a:b:c", /:/); sub mysplit { my($str, $patt
我已经使用 ArgoUML 创建了一个 ERD(实体关系图),我希望在一个类中创建两个操作,它们都具有 void 返回类型。但是,我只能创建一个返回 void 类型的操作。 例如: 我能够将 book
Github 操作仍处于测试阶段并且很新,但我希望有人可以提供帮助。我认为可以在主分支和拉取请求上运行 github 操作,如下所示: on: pull_request push: b
我正在尝试创建一个 Twilio 工作流来调用电话并记录用户所说的内容。为此,我正在使用 Record,但我不确定要在 action 参数中放置什么。 尽管我知道 Twilio 会发送有关调用该 UR
我不确定这是否可行,但值得一试。我正在使用模板缓冲区来减少使用此算法的延迟渲染器中光体积的过度绘制(当相机位于体积之外时): 使用廉价的着色器,将深度测试设置为 LEQUAL 绘制背面,将它们标记在模
有没有聪明的方法来复制 和 重命名 文件通过 GitHub 操作? 我想将一些自述文件复制到 /docs文件夹(:= 同一个 repo,不是远程的!),它们将根据它们的 frontmatter 重命名
我有一个 .csv 文件,其中第一列包含用户名。它们采用 FirstName LastName 的形式。我想获取 FirstName 并将 LastName 的第一个字符添加到它上面,然后删除空格。然
Sitecore 根据 Sitecore 树中定义的项目名称生成 URL, http://samplewebsite/Pages/Sample Page 但我们的客户有兴趣降低所有 URL(页面/示例
我正在尝试进行一些计算,但是一旦我输入金额,它就会完成。我只是希望通过单击按钮而不是自动发生这种情况。 到目前为止我做了什么: Angular JS - programming-fr
我的公司创建了一种在环境之间移动文件的复杂方法,现在我们希望将某些构建的 JS 文件(已转换和缩小)从一个 github 存储库移动到另一个。使用 github 操作可以实现这一点吗? 最佳答案 最简
在我的代码中,我创建了一个 JSONArray 对象。并向 JSONArray 对象添加了两个 JSONObject。我使用的是 json-simple-1.1.jar。我的代码是 package j
我是一名优秀的程序员,十分优秀!