Opcode解析方法

最新推荐文章于 2024-06-23 21:30:59 发布
最新推荐文章于 2024-06-23 21:30:59 发布
阅读量518 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://blog.51cto.com/haidragon/2097461

可以看https://blog.youkuaiyun.com/brunomarss/article/details/50589556

Opcode解析方法。
83C4 04 ADD
每条指令,开头的字节不是前缀就是code域。

  1. 先取出opcode的第一个字节,判断是code域还是前缀
  2. 如果是前缀,则继续找下一个字节,再一次判断是否code域函数前缀,因为一条指令中可能有多个前缀,但绝不会超过4个,如果超过了,就是一条无效指令。
  3. 如果证明就是code域的时候。
    3.1 找到code域对应的指令助记符,操作数个数,操作数的类型。
    3.2 如果含有Group,则用code域的值去Group中查找对应行,用指令的下一个字节,也就是ModR/M域定位Group中的列。
    最终得到: ADD Ev,Ib
  4. 如果存在ModR/M域, 则将code域的下一个1字节的值,去查找ModR/M表。如果存在前缀67,去16的ModR/M域表查找,如果没有,则去32位的ModR/M查找。操作数中的E和M对应着ModR/M域表的左边,G对应着ModR/M表的顶边。
    第一个操作数:Ev
    E => ESP/SP/AH
    v => 依赖于操作数的大小(操作数指的是指令中的另一个操作数。)=> b => 字节 => AH
    Ev => AH
    第二个操作数:Ib
    I => 立即数
    b => 1个字节
    Ib => 04
    Add ah ,04

A1 78812801 MOV

  1. A1 => code => Mov Rax,Ov => 如果是32位汇编,rax需要改成eax
  2. Ov => [01288178]
  3. mov eax, [01288178]

8B 40 04
8B => Mov Gv,Ev
Gv => 40(ModR/M域) => eax
Ev => 40(ModR/M域) => [EAX]disp8 => [eax+04(disp域)]
Mov eax,[eax+4]

8B 04 85 04 00 00 00
8B => Mov Gv,Ev
Gv => 04(ModR/M域) => eax
Ev => 04(ModR/M域) => [--][--](SIB域:85)=> [eax4][00000004] => [eax4+4]
Mov eax,[eax*4+4]

A3 54812801 MOV
68 54812801 PUSH
8B0D 74812801 MOV
51 PUSH
68 48812801 PUSH
68 44812801 PUSH
68 40812801 PUSH
FF15 A4922801 CALL

Opcode解析方法

转载于:https://blog.51cto.com/haidragon/2097461

php反编译opcode,从HGAME的pyc逆向来看手撸opcode
weixin_39521651的博客
04-07 1009
一次pyc文件恢复Python Pyc的文件格式[compile.h]/* Bytecode object */typedef struct {PyObject_HEADint co_argcount; /* #arguments, except *args */int co_nlocals; /* #local variables */int co_stacksize; ...
Python的运行机制--操作码(opcode)解析
热门推荐
I2Cbus的专栏
11-23 1万+
上一篇文章《Python的运行机制--pyc文件浅析》中已经对Python的运行单元PyCodeObject结构体作了初步的了解,但是要真正理解Python的运行机制, 还要通过分析Python的opcode才行。
Emit常用Opcode指令使用方法
10-17
本人是从0开始自学Emit的,中间比较难受的就是好多Opcpde指令不知道是什么意思、不会用,后来经过查资料总算是搞明白点了。 除了在网上查资料之外学习MSIL另一个好方法就是.Net Reflector和ildasm.exe配合使用,.Net Reflector可以把Emit代码转换为普通C#代码,ildasm.exe可以把普通C#代码转换为MSIL,不会写某一功能的Emit代码就先把它的C#代码写出来,用ildasm.exe转换成MSIL,然后根据生成的MSIL逻辑去写Emit代码,这个很好用。
ARM-Opcode-Map
weixin_34082695的博客
08-14 263
2019独角兽企业重金招聘Python工程师标准>>> ...
Intel硬编码(一):Opcode Map、定长指令与指令前缀
Apollon_krj的博客
08-23 8588
IntelCPU的机器指令(硬编码)格式如下图所示: 一个指令由:指令前缀(Instruction Prefixes) + 操作码(Opcode) + ModR/M + SIB + 偏移(displacement) + 立即数(Immediate data)几部分组成,一条指令至少需要有Opcode,其它几部分,在不同指令中可能存在可能不存在。今天我们主要来看Opcode、Instruction
Opcode小结
have a rest
05-04 415
1. “opcode前缀——66h”对size of oprand的影响 分为两种情况,oprand的值在寄存器中或者在内存中。 如果oprand的值在寄存器中,那么当default size of oprand = 32bit时,66h使得寄存器被解析为16bit的寄存器,否则,66h使得寄存器被解析为32bit的寄存器。下面是在win32程序中(default size of oprand...
Opcode.zip
06-23
"Opcode.zip"这个压缩包包含了一系列与Opcode解析相关的位图文件,这些位图可以帮助我们更好地理解Opcode的工作原理和结构。接下来我们将逐一分析这些文件: 1. **A-3(双字节).bmp**:这可能表示双字节的Opcode格式...
Svin的教程opcode中文版解析指南
标题中提到的是“Svin的教程opcode”,这里指的“opcode”是“操作码”(Operation Code)的缩写,它是在计算机编程和指令集中常见的一种概念。操作码是计算机指令的一部分,用于指示处理器执行特定的操作。在不同层级...
GCC汇编指令Opcode压缩包解析与应用
在本资源中,可能会提供详细的GCC汇编器使用方法,包括如何在GCC编译过程中指定不同的编译选项来控制汇编输出,如何编写适用于特定架构的汇编代码,以及如何通过各种优化选项来调整生成的机器代码。例如,GCC提供了...
PHP7如何开启Opcode打造强悍性能详解
10-18
在PHP的正常执行流程中,每次请求都需要读取PHP源代码,扫描词法和语法,然后解析生成Opcode,最后执行这些Opcode。然而,如果PHP源代码未发生变化,Opcode也会保持不变。因此,通过缓存Opcode,可以跳过重复的编译...
PHP 5.3 OPCODE工具(用于zend 加密php 5.3分析,逆向)
08-07
php opcode的反解,用于分析PHP ,逆向PHP 加密,由OPCODE转换PHP代码. WINDOWS 版本的使用: 开始,运行,CMD 进入PHP所在目录,执行: Php.exe –c php.ini 111.php 回车,即可查看:111.php 的OPCODE值. 用这个工具,可以用来分析:Zend 加密的 PHP5.3程序.
Opcode定义和查询
03-13
包含机器指令规范 操作码查询表 指令时钟周期查询表
安卓lua解密——opcode修改后dump反编译
最新发布
2302_77511514的博客
06-23 2712
早期游戏的lua源码放在安装包的assets目录,但随着对抗的升级,越来越多的游戏使用动态更新和扩展应用功能的方式,特别是在需要频繁更新脚本或配置的情况下。而且这种方法是网络上加载Lua代码,你在安装包,APK是得不到lua的代码的。打开apk\lib\arm64-v8a\目录,如果发现libxlua.so,libslua.so等等类似目录,那么有很大可能是lua。一:将正常的so文件与修改后的so文件,放进IDA反编译,搜索函数:luaV_execute找到case,进行对比,还原opcode的顺序。
php opcode逆向还原,[原创]VM代码的还原-插件篇
weixin_36242060的博客
04-09 1668
首先,先给出几个工具.大概都是伪码类的.之前也介绍过.首先推荐的是zdhysd 师傅的VMP分析插件 1.4 之前介绍过了..下载地址:http://bbs.pediy.com/thread-154621.htm剩下的大家也都用过.一个是木木老师的OoWoodOne 堪比Ximo师傅的zeus 个人用的觉得比zeus更好用一点.而且带源码.下载地址:http://bbs.pediy.com/thr...
汇编4OPCODE
weixin_30548917的博客
06-20 216
opcode原理 前缀域 切换操作数大小前缀 : 066h 可以将32位的操作数切换成16位的操作数 B8 00010000 | MOV EAX,0x100 66:B8 0001 | MOV AX,0x100 ​8918 | MOV DWORD PTR DS:[EAX],EBX 66:8918 | MOV WORD PTR...
OpCode
kl195375的博客
05-03 3799
IoT和IOBT应用程序可能包含一长串OpCodeOpCode:操作码,每个设备处理单元上的执行的指令 为了反汇编样本,利用Objdump(GNU binutils 2.27.90版)/(IDA)作为反汇编程序提取OpCodeOpCode由6个域组成 1.Prefixes 2.code 3.ModR/M 4.SIB 5.Displacement 6.Immediate 在实际的使用中并不是...
opcode缓存
php_younger的博客
11-10 605
opcode缓存 Opcode是operation code(操作码)的简称,一种中间码。PHP代码执行会经过如下4个步骤: 首先,Zend Engine(Zend引擎),调用词法分析器(Lex生成的,源文件在 Zend/zend_language_sanner.l), 将我们要执行的PHP源文件,去掉空格 ,注释,分割成一个一个的token。然后,Zend引擎会将得到的token f
opcode 查询,opcode 汇总
sensicall的博客
09-28 1358
http://ref.x86asm.net/#HTML-Editions
初识opcode
DipForLL的博客
11-16 469
写在前面的话,php执行过程 1.Scanning(Lexing) ,将PHP代码转换为语言片段(Tokens) 2.Parsing, 将Tokens转换成简单而有意义的表达式 3.Compilation, 将表达式编译成Opocdes 4.Execution, 顺次执行Opcodes,每次一条,从而实现PHP脚本的功能。 token_get_all(),这个函数就可以将一段PHP代码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值