repne scasb详解

本文介绍REPNESCAS指令在检测代码断点及计算字符串长度的应用实例。通过具体汇编代码片段展示如何使用该指令高效完成任务。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


SCAS是在检索目标字符串;REPNE/REPNZ是重复前缀(CX<>0 且ZF=0重复执行字符串指令),类似的还有REPE/REPZ、REP
  ax/al   搜索数据  
  es:di   目标串  
  cx         串长度  
  df         方向标志
利用 REPNE SCAS 来检测代码中是否被下int3断点(CC):
  00401241  /$  8D3D 00104000 LEA EDI,DWORD PTR DS:[<ModuleEntryPoint>>;  入口地址401000装入EDI
  00401247  |.  B9 97020000   MOV ECX,297                              ;  ECX赋值297
  0040124C  |.  E8 45000000   CALL 00401296                            ;  CC装入AL
  00401251  |.  F2:AE         REPNE SCAS BYTE PTR ES:[EDI]             ;  重复操作
  比如断点设在00401147处,入口出处为00401000,则F8后,ECX=297-(00401147-00401000+1)=14F,当然你也可以在原地不停的按住F4,直到ECX=1后再按F8
  00401253  |.  85C9          TEST ECX,ECX                             ;  ECX是否为0,如果下了断点,这里的ECX是非0值
  00401255  |.  75 3E         JNZ 00401295                             ;  既然你下了断点,这里一定不能跳
利用 REPNE SCAS 来计算字符串长度:
 mov ecx, FFFFFFFF    设置循环次数-1
 sub eax, eax             设置搜索内容0
 repnz                        
 scasb                         一直重复搜索到EDI字符串末尾的0
 not ecx                       得到搜索次数,也就是字符串的完整长度
 dec ecx                       -1得到字符串不包含末尾0的长度
本文来源于Eddy Blog http://www.rrgod.com/ , 原文地址:http://www.rrgod.com/decryption/236.html


 

### 解析 `repne scasb` 指令 #### 功能描述 `REPNE SCASB` 是一条用于字符串操作的指令组合,在 x86 架构中非常常见。这条指令的功能是在重复模式下扫描字节串,直到遇到匹配项或计数器 ECX/RCX 归零为止。 具体来说: - **SCASB**: 字符串比较指令会将 AL 寄存器中的值与 ES:[EDI/RDI] 地址处的内容进行对比,并更新标志寄存器(EFLAGS)。如果两者相等,则设置 ZF 标志位;如果不等于则清除 ZF[^1]。 - **REPNE**: 当前条件为不相等时继续执行指定次数的操作。这里指当 ZF=0 且 RCX>0 的情况下持续调用 SCASB 直到找到第一个不同的字符位置或者遍历完了整个长度范围内的数据[^2]. 因此,`REPNE SCASB` 可以用来在一个内存区域里查找某个特定字节的位置,通常被应用于搜索子串、判断两个缓冲区是否相同等情况。 #### 使用示例 下面是一个简单的例子来展示如何使用该命令寻找给定字符首次出现的地方: ```assembly .data source db 'hello world', 0 ; 定义源字符串并以null结尾 char_to_find db 'o' ; 要找的目标字符'o' .code _start: mov ecx, 12 ; 设置循环次数(即字符串最大可能长度) lea edi, [source] ; 将 EDI 设为目标地址指向 source 开始处 lodsb ; 加载要查找的第一个字符至AL cmp al, byte ptr[char_to_find]; 初始比较一次提前加载好的目标字符 je found ; 如果一开始就找到了就跳转结束 looping: scasb ; 执行单次 SCASB 并自动增加 RDI jnz looping ; 若未发现相同的字符(ZF=0),则继续循环 found: ; 已经定位到了所需字符所在偏移量 ... ``` 在这个程序片段中,通过设定好相应的参数之后启动了带有 NE 条件码的 REPE 循环体,从而实现了高效地线性探测过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值