0
我是彙編新手,正在閱讀一篇介紹Ollydbg彈球功能示例的指南。我試圖瞭解大多數的指示做的,但下面這行已經我徹底糊塗:x86英特爾彙編中的尖括號
01017455 |. E8 249D0000 CALL <JMP.&[email protected]@Z>
什麼尖括號在這方面是什麼意思?並且有沒有什麼有意義的功能名稱? 「JMP」。在名稱中也有困惑 - 它只是函數名稱的一部分,應該忽略?
A
回答
2
這似乎是在您的文件中調用靜態鏈接的.LIB。在Windows上,通過在可執行文件的特殊部分中調用JMP指令來實現API /庫調用。
例如
CALL <JMP.&[email protected]@Z>
會做CALL以下指令
JMP.&[email protected]@Z
的CALL將返回地址到堆棧,然後跳轉到本節中的以下JMP指令。這JMP將不會修改返回地址 - 所以它有效像直接CALL。
簡化:
curEIP:
CALL <JMP.&[email protected]@Z> ; pushes (curEIP+insLen) to the stack and JMPs to (some virtual label named) `msvcrt.??3` in this section named above
...
msvcrt.??3:
JMP [email protected] ; JMPs to `[email protected]` - address of the real function in the statically linked LIB in memory
...
; after the CALL completes...
...返回到先前壓入堆棧(初始EIP + instructionLengthInBytes)繼續執行,返回值地址。
尖括號在這方面的含義是什麼?
他們只是顯示你上面的方案
的相關數據的慣例,是有什麼在函數的名稱有意義?
是的。往上看。括號內的名稱不同於調試器到調試器。
「JMP」。在名稱中也有困惑 - 它只是函數名稱的一部分,應該忽略?
的<JMP...簡單incidcates,下列字符/地址要被解釋爲在可執行一個參考跳轉表爲靜態鏈接庫(在提及的(見上文)特別包括部分)。看一下PE-Explorer/Debugger來重現它。
-1
尖括號用於Windows API調用。
例如,如果我使用Kernel32庫中的函數,它將使用角括號調用Kernel32。
相關問題
- 1. 的x86英特爾彙編LEA
- 2. 英特爾x86彙編中的循環永遠持續
- 3. 英特爾彙編優化
- 4. Intel x86彙編語法寄存器中的括號
- 5. 的英特爾x86架構「DB」,並DOSBOX
- 6. 英特爾8085彙編中的bitshift操作是做什麼的?
- 7. 對比度降低 - 英特爾x86
- 8. vs 2015中的英特爾x64 C++內聯彙編
- 9. 是否可以使用Visual Studio編寫英特爾彙編?
- 10. 從英特爾彙編語言手動編寫C代碼?
- 11. 在LLDB中設置反彙編風味到英特爾
- 12. Python中的尖括號
- 13. php中的尖括號
- 14. 如何從gk的haskell生成英特爾彙編語法?
- 15. 如何使用英特爾的RDRAND使用內聯彙編.Net
- 16. Printf彙編語言堆棧指針nasm英特爾
- 17. 這個英特爾彙編代碼是什麼意思?
- 18. x86彙編錯誤
- 19. x86彙編語言
- 20. x86-64 GNU彙編
- 21. 「fh」後綴在英特爾彙編中的「38fh」等數字上的含義
- 22. .NET - NGEN編譯x86彙編
- 23. 我如何安裝英特爾編譯器和英特爾mpi的提升?
- 24. 英特爾的Windows C++編譯器
- 25. PHP呼應尖括號
- 26. Objective-C中尖括號的含義?
- 27. bfs java代碼中的尖括號
- 28. 英特爾x86 32位寄存器混淆
- 29. 英特爾X86-64組裝教程或書
- 30. 英特爾x86模擬器加速器與linux不兼容