Necesito ayuda para entender las siguientes instrucciones de ensamblaje. Me parece que estoy llamando a una dirección en algún valor desconocido + = 20994A?Necesita ayuda para comprender las instrucciones de llamada asm E8 x86
E8 32F6FFFF - call std::_Init_locks::operator=+20994A
Lo que usted está utilizando para obtener el desmontaje está tratando de ser útil, al dar en el blanco de la llamada como un desplazamiento desde algún símbolo que se sabe sobre - pero teniendo en cuenta que el desplazamiento es tan grande, es probable que esté confundido.
El objetivo real de la llamada se puede calcular como sigue:
E8 es una call con un desplazamiento relativo.e.g.
<some address> E8 32 F6 FF FF call <somewhere>
<some address>+5 (next instruction)
0xFFFFF632.-0x9CE.call está en <some address> y tiene 5 bytes de longitud; la siguiente instrucción está en <some address> + 5.<some address> + 5 - 0x9CE.Si está analizando el archivo PE con un desensamblador, es posible que el desensamblador le haya dado el código incorrecto. La mayoría de los programadores de malware utilizan la inserción de E8 como técnica antidesensamblaje. Puede verificar si los códigos sobre E8 son instrucciones de salto donde la ubicación del salto es después de E8.
Tanque que tanto. ¡Tu ejemplo es perfecto! – Michael
@Matthew ¿podría la instrucción de llamada tener más de 5 bytes de longitud? (En un archi x86, ¿puede el siguiente instr. Estar en + 6)? En cual caso? –
Rafa
@Rafa, la instrucción de desplazamiento relativo de la llamada es de 5 bytes, porque el desplazamiento relativo máximo debe caber en 4 bytes. Si el objetivo está a más de 2 ** 31 bytes de distancia, 'mov reg, imm64; call reg' se usa. –