Nano Hash - криптовалюты, майнинг, программирование

Что означает цифра 66 в 66:PUSH 08?

Тестовая платформа - Windows 32bit.

Я использую IDA pro для дизассемблирования PE-файла, выполнения очень утомительной работы по преобразованию и повторной сборки в новый PE-файл.

Но есть некоторая разница в пересобранном PE-файле и исходном, если я использую OllyDbg
для отладки нового PE-файла (хотя в преобразованном мной ассемблерном файле разницы в этой части нет)

Вот часть оригинального: введите здесь описание изображения

См.

PUSH 8 
PUSH 0

верно.

Вот часть моего нового PE-файла:

введите здесь описание изображения

Смотрите сейчас

PUSH 8
PUSH 0

меняется на

66:6A 08
66:6A 00

и это приводит к сбою исполнения нового PE.

По сути, из того, что я видел, это приводит к невыравниванию стека.

Так кто-нибудь знает, что не так с этой частью? Я не вижу никакой разницы в коде сборки, который я преобразовываю....

Может ли кто-нибудь помочь мне? Благодарю вас!

windows assembly disassembly nasm portable-executable
09.01.2014

Ответы:


1

66h — это префикс переопределения размера операнда. В 32-битном коде он переключает размер операнда на 16-битный с 32-битного по умолчанию. Итак, здесь происходит то, что инструкция PUSH помещает в стек 16-битное значение вместо 32-битного, а ESP уменьшается на 2 вместо 4. Вот почему вы получаете несбалансированный стек после вызова.

Вы должны проверить документацию вашего ассемблера, чтобы увидеть, как вы можете установить 32-битный размер операнда для инструкций PUSH imm. Разные ассемблеры используют для этого разные соглашения. Например, в NASM вы, вероятно, использовали бы что-то вроде push dword 8.

09.01.2014
  • Это действительно уменьшает ESP на 2, а не на 4? Я не думал, что архитектура x86-32 позволит это сделать; что произойдет, если машина возьмет прерывание в этот момент? 09.01.2014
  • @Игорь, Спасибо! Я обнаружил, что в моем коде преобразования есть проблема, и исправил ее! 09.01.2014

    • 2

    Это байт кода операции «префикс»: см. http://wiki.osdev.org/X86-64_Instruction_Encoding#Legacy_Prefixes

    0x66 означает «переопределение размера операнда». Ваш код, по-видимому, работает в 32-битном режиме; PUSH без префикса вытолкнет 32-битное значение. Я думаю, что это приводит к тому, что PUSH извлекает 16 битное значение и помещает его как 32-битное значение в стек. (Я пишу много кода на ассемблере, и мне никогда не приходилось этого делать).

    09.01.2014
  • Спасибо большое за ответ @Ira! 09.01.2014
    • Новые материалы
    Кластеризация: более глубокий взгляд
    Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..
    Как написать эффективное резюме
    Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..
    Частный метод Python: улучшение инкапсуляции и безопасности
    Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..
    Как я автоматизирую тестирование с помощью Jest
    Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..
    Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)
    Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..
    Понимание расстояния Вассерштейна: мощная метрика в машинном обучении
    В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..
    Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot
    В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..