ff 15 调用函数与e8调用函数的区别 call的两种二进制命令

最新推荐文章于 2024-08-02 18:33:48 发布
最新推荐文章于 2024-08-02 18:33:48 发布
阅读量8.1k 收藏 2
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 汇编 文章标签: c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/flyqwang/article/details/6299185

ff 15 和e8都是用来调用函数的机器码,看一个例子:
218 f9ebc53a 6a00                  push    0
218 f9ebc53c ff1500c9ebf9    call    dword ptr [APC!PspExitThread_Addr (f9ebc900)]
219 f9ebc542 a100c9ebf9      mov     eax,dword ptr [APC!PspExitThread_Addr (f9ebc900)]
219 f9ebc547 50                      push    eax
219 f9ebc548 68f0c4ebf9     push    offset APC!GetPspExitThreadAddr+0xee (f9ebc4f0)
219 f9ebc54d e872020000     call    APC!DbgPrint (f9ebc7c4)
219 f9ebc552 83c408              add     esp,8
220 f9ebc555 e870020000     call    APC!KeGetCurrentThread (f9ebc7ca)
220 f9ebc55a 8945fc               mov     dword ptr [ebp-4],eax
221 f9ebc55d 8b4dfc               mov     ecx,dword ptr [ebp-4]
221 f9ebc560 51                      push    ecx
221 f9ebc561 680cc5ebf9      push    offset APC!GetPspExitThreadAddr+0x10a (f9ebc50c)
221 f9ebc566 e859020000    call    APC!DbgPrint (f9ebc7c4)
221 f9ebc56b 83c408             add     esp,8

222 f9ebc56e 6a00                 push    0
222 f9ebc570 8b5508             mov     edx,dword ptr [ebp+8]
222 f9ebc573 52                     push    edx
222 f9ebc574 ff1508c8ebf9   call    dword ptr [APC!_imp__ExFreePoolWithTag (f9ebc808)]

APC!KillThreadRoutine+0x4d [f:/dvs/apc/apc.c @ 224]:
224 f9ebc57a 8be5                mov     esp,ebp
224 f9ebc57c 5d                     pop     ebp
224 f9ebc57d c21400            ret     14h
看上面的代码得到的结果是:
ff 15 调用时后面直接跟的是函数地址,并且不需要主调函数来平衡堆栈(即不需要在主调函数中使用add esp,xxh)
e8调用时后面跟的是函数地址相对于当前地址的偏移量,并且需要主调函数来实现堆栈平衡(即需要在主调函数中添加add esp,xxh),这个xxh当然是等于调用函数前push了多少字节的参数)
但是不知道还有没有其他的区别了...

 

 

 

PS:

call 一个near过程,只把偏移地址压入堆栈,过程返回时用retn返回
call一个far过程,把偏移地址和段地址入栈,过程返回时用retf返回

在过程中的ret指令根据near和far的不同,分别编译成retn和 retf
retn和retf的机器码是不同的,你也可以不定义过程,直接用retn和retf

E8/E9/FF 15/FF25指令--汇编学习笔记
KOOKNUT的博客
05-07 6731
E8/FF 15:
内核级病毒木马攻防:ELF文件的符号表和函数调用追踪
tyler_download的专栏
07-28 667
熟悉编译原理的同学一定了解何为符号,所谓符号其实是一种数据结构,用来描述编程语言中定义的特定对象。例如编程语言中定义的变量,函数都有特定的符号用于描述他们的性质。例如变量对应的符号中包含了变量对应的字符串名称,变量的类型,以及变量对应的内存。函数对应的符号包含了函数名称字符串,函数的返回值类型,函数入口内存地址等,在代码调试时,你把鼠标挪动到变量所在位置,IDE就给你显示出变量当前的取值等信息,这些信息就来自变量对应的符号,我在有关编译原理的两门课程里对符号有非常深入的讲解。 在elf文件中存在两种符号表,
ff15方式的call怎么计算地址
q123456789098的专栏
08-27 2032
if ( 0xE8 == code_instr.opcode ) // 0xE8 call类型 { dwJumpTo = (DWORD)p + *(DWORD*)(p+1) + 5 ; } else if ( 0xFF == *p && 0x15 == *(p+1) ) // 0xFF15 call类型 {  dwJumpTo = *( DWORD* )(*( DWORD* )( p 
几种跳转指令和对应的机器码
求索
12-06 1万+
几种跳转指令和对应的机器码 0xE8    CALL    后面的四个字节是地址 0xE9    JMP    后面的四个字节是偏移 0xEB    JMP    后面的二个字节是偏移 0xFF15    CALL    后面的四个字节是存放地址的地址 0xFF25    JMP    后面的四个字节是存放地址的地址 0x68    PUSH    后面的四
跳转指令机器码
yusakul的博客
12-02 2247
跳转指令和对应的机器码 0xE8 CALL 后面的四个字节是地址 0xE9 JMP 后面的四个字节是偏移 0xEB JMP 后面的二个字节是偏移 0xFF15 CALL 后面的四个字节是存放地址的地址 0xFF25 JMP 后面的四个字节是存放地址的地址 0x68 PUSH 后面的四个字节入栈 0x6A PUSH ...
汇编知识点
qq_42021840的博客
01-16 1015
call和jmp callFF15 + 绝对地址 、 E8 + 相对偏移 (先push eip ,再jmp) jmp:FF25 + 绝对地址 、 E9 + 相对偏移 (在x64下 FF25也是按相对偏移算的) 寻址方式 指令寻址: 顺序寻址 程序的顺序执行过程就是顺序寻址 跳跃寻址 jmp call 等类型的寻址过程 数据寻址: 立即寻址 指令的地址字段是操作数本身 mov eax, 1h 直接寻址 指令...
C++虚函数调用过程深度理解(二)
最新发布
qq_37186884的博客
08-02 563
在上文中,笔者探讨验证了关于虚函数调用过程的一些理解。但回顾后却发现仍然略过了一些细节,这部分细节是关于。上文有所涉及,但没有深入。接下来,笔者将继续验证这部分细节。菱形继承。
C语言新手入门理解:函数栈帧——从汇编代码理解函数是如何创建、调用、销毁以及一些基础汇编指令的详细介绍。
2301_79587525的博客
05-03 1433
函数汇编代码如何实现,讲述xor、mov、lea、rep stos、push、pop、add、sub、call、ret、test、jl、jmp等汇编指令的作用
【实现操作系统 00】x86 x64 架构下函数参数传递的区别
Imagine Miracle的博客
08-09 1471
本文分析了在 x86 和 x86_64 架构下函数参数传递的区别
❤️超详细PWN新手入门教程❤️《二进制各种漏洞原理实战分析总结》
Test网络安全
09-15 1万+
本部分将对常见的二进制漏洞做系统分析,方便在漏洞挖掘过程中定位识别是什么类型漏洞,工欲善其事,必先利其器。 0x01栈溢出漏洞原理 栈溢出漏洞属于缓冲区漏洞的一种,实例如下: #include <stdio.h> #include <string.h> int main() { char *str = "AAAAAAAAAAAAAAAAAAAAAAAA"; vulnfun(str); return; } int vulnfun(char *st
180101 逆向-64位处理器
whklhhhh的博客
01-02 414
1625-5 王子昂 总结《2018年1月1日》 【连续第458天总结】 A. x64处理器 B. 64位系统中内存地址为64位(8个字节),使用64位大小的指针。所以含有绝对地址的指令大小也比原来增加了4个字节。同样,寄存器的大小和栈的基本单位也变为64位。虚拟内存的实际大小为16TB 虽然用64位数可以表示的最大数为16EB,但考虑到实际性能,x64和IA-64CPU都不支持这么大的虚
64位驱动相对偏移的计算E8call
yufengly1984的专栏
12-02 1760
fffff800`041720bc e83b010000      call    nt!PsLookupProcessByProcessId (fffff800`041721fc) fffff800`041720c1 8bd8            mov     ebx,eax tempPsOpenProcess = (PBYTE)g_NtOpenProcessAddress +
call 地址计算
YuHengZuo的博客
03-07 3846
CALL的地址 - 下一条指令地址 = E8 后面的硬编码E8 后面的硬编码 + 下一条指令地址 = CALL的地址
汇编指令对应的十六进制表示
热门推荐
duhaomin的专栏
02-14 1万+
空            nop jmp + 32位立即数  jmp  a     =   E9 a jmp+[内存地址]   jmp   [0x8d8d3a]     =  FF25   [0x8d8d3a]  jmp+far+[内存地址]   jmp far  [0x8d8d3a]     =  FF2D   [0x8d8d3a]  直接远跳 jmp 0x8:0x7c00  = EA
CALL指令有多少种写法
hksoobe的专栏
08-03 3103
本文转自 http://blog.ftofficer.com/2010/04/n-forms-of-call-instructions/
二进制炸弹string_not_equal函数比较字符串是否相等的反汇编,并逐条解释
06-03
好的,下面是二进制炸弹第一阶段的`strings_not_equal`函数比较字符串是否相等的反汇编代码及逐条解释: ```assembly 08048c4b <strings_not_equal>: 8048c4b: 55 push ebp 8048c4c: 89 e5 mov ebp,esp 8048c4e: 83 ec 18 sub esp,0x18 8048c51: 8b 45 08 mov eax,DWORD PTR [ebp+0x8] 8048c54: 8b 55 0c mov edx,DWORD PTR [ebp+0xc] 8048c57: 89 04 24 mov DWORD PTR [esp],eax 8048c5a: e8 71 ff ff ff call 8048bd0 <strcmp@plt> 8048c5f: 85 c0 test eax,eax 8048c61: 0f 94 c0 sete al 8048c64: 0f b6 c0 movzx eax,al 8048c67: c9 leave 8048c68: c3 ret ``` 1. `push ebp`:将当前函数的栈底指针 `ebp` 压入栈中,为当前函数建立栈帧。 2. `mov ebp, esp`:将当前栈顶指针 `esp` 的值赋给栈底指针 `ebp`,为当前函数建立栈帧。 3. `sub esp, 0x18`:在栈上分配 `0x18` 字节的空间,用于存储局部变量。 4. `mov eax, DWORD PTR [ebp+0x8]`:将第一个参数的值(即调用该函数时传入的第一个字符串)存储在寄存器 `eax` 中。 5. `mov edx, DWORD PTR [ebp+0xc]`:将第二个参数的值(即调用该函数时传入的第二个字符串)存储在寄存器 `edx` 中。 6. `mov DWORD PTR [esp], eax`:将第一个字符串的指针存储在栈顶指针 `esp` 指向的位置上。 7. `call 8048bd0 <strcmp@plt>`:调用 `strcmp` 函数,比较两个字符串是否相等。 8. `test eax, eax`:将 `eax` 寄存器的值自身进行按位操作,用于判断 `eax` 是否为零。 9. `sete al`:将 `al` 寄存器的值设置为 `1` 或 `0`,表示比较的结果是否相等。 10. `movzx eax, al`:将 `al` 寄存器的值(即比较结果)零拓展,存储到 `eax` 寄存器中。 11. `leave`:撤销当前函数的栈帧。 12. `ret`:从当前函数返回,并弹出栈顶元素。 以上是二进制炸弹第一阶段的`strings_not_equal`函数比较字符串是否相等的反汇编代码及逐条解释。该函数的作用是比较两个字符串是否相等,如果相等则返回0,否则返回非零值。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值