call jmp 与机器码

最新推荐文章于 2024-08-24 23:22:37 发布
最新推荐文章于 2024-08-24 23:22:37 发布
阅读量2.4k 收藏 2
点赞数 1
分类专栏: 反汇编/反编译/IDA
本文详细解析了汇编语言中CALL指令的不同形式及其对应的机器码。包括CALL立即数、CALL内存地址、CALL FAR内存地址等,并给出了具体的例子说明。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文地址::http://sangguowei2002.blog.163.com/blog/static/3271332920132835138203/



相关文章

1、call指令对应的机器码好象不对----http://bbs.youkuaiyun.com/topics/190109474

2、如何根据机器码来获得相应的汇编指令。主要是CALL指令不会----http://zhidao.baidu.com/link?url=Iz46PDPnEITummTEwo2GtUrK6AeAjlidJ7HtCPJ6NYZJbbllRwNg2iBAcNwF2TYju5SyD4gD-m7uyV9fK7qbK_

3、进程插入后如何对目标进程 的代码hook到自己的dll函数?----http://bbs.youkuaiyun.com/topics/190081822

;示例一  CALL立即数  CALL后面跟一个32位立即数

;===================================
     1                                  [bits 32]
     2                                            test:
     3 00000000 90                      nop
     4 00000001 90                      nop
     5 00000002 90                      nop
     6 00000003 E8F8FFFFFF    call test
     7 00000008 90                      nop
     8 00000009 90                      nop
     9 0000000A 90                      nop
;===================================
CALL后面跟一个立即数,也就是32位偏移量时,机器码为 0XE8   后面的32位立即数是偏移量.
偏移量的计算:  目标偏移地址 减  CALL 指令后的下一条指令的地址 在当前的例子中,test是目标偏移地址,地址是0 CALL指令后的地址为 08 , 0-08=FFFFFFF8  注意,在内存中,低字在前,高字在后,所以是 0XE8 F8 FF FF FF

偏移量计算的公式二:   目标偏移-CALL指令的起始偏移-CALL指令的大小

;示例二 CALL [内存地址]
;=====================================
     1                                  [bits 32]
     2                                  
     3 00000000 90                      nop
     4 00000001 90                      nop
     5 00000002 90                      nop
     6 00000003 FF15[0B000000]          call [test]
     7 00000009 90                      nop
     8 0000000A 90                      nop
     9                                  test:
    10 0000000B 90                      nop
;======================================
机器码是0XFF15 后面跟的是内存地址.  test的内存地址是 0B ,所以后面跟的是0B 同样是低字在前,高字在后

示例三 call far [内存地址]
;=======================================
     1                                  [bits 32]
     2                                  
     3 00000000 90                      nop
     4 00000001 90                      nop
     5 00000002 90                      nop
     6 00000003 FF1D[0B000000]          call far [test]
     7 00000009 90                      nop
     8 0000000A 90                      nop
     9                                  test:
    10 0000000B 90                      nop
;=======================================
CALL FAR 内存地址,机器码是 0XFF1D 后面内存地址的表示是相同的,但执行不同. 会同时改变CS 与 IP.

;示例四 JMP 立数数
;=======================================
     1                                  [bits 32]
     2                                  
     3 00000000 90                      nop
     4 00000001 90                      nop
     5 00000002 90                      nop
     6 00000003 E902000000              jmp test
     7 00000008 90                      nop
     8 00000009 90                      nop
     9                                  test:
    10 0000000A 90                      nop
;=======================================
JMP 立即数,机器码是 E9 ,后面跟一个偏移量. 偏移量计算与上面CALL相同.   test 地址是 0A,JMP指令后下一条指令地址是 08 ,0A-08=2

;JMP 内存地址
;=======================================
     1                                  [bits 32]
     2                                  
     3 00000000 90                      nop
     4 00000001 90                      nop
     5 00000002 90                      nop
     6 00000003 FF25[0B000000]          jmp  [test]
     7 00000009 90                      nop
     8 0000000A 90                      nop
     9                                  test:
    10 0000000B 90                      nop
;=======================================
JMP 内存地址,机器码是 0XFF25 后面跟的是内存地址. 注意,是从后面的内存地址取出目标数值来改变EIP.

;JMP FAR 内存地址
;========================================
     1                                  [bits 32]
     2                                  
     3 00000000 90                      nop
     4 00000001 90                      nop
     5 00000002 90                      nop
     6 00000003 FF2D[0B000000]          jmp  far [test]
     7 00000009 90                      nop
     8 0000000A 90                      nop
     9                                  test:
    10 0000000B 90                      nop
;========================================
JMP FAR 机器地址是 0XFF2D 后面同样是内存地址.

;============================================================
 直接远跳转与直接远调用
;============================================================
     1                                  [bits 32]
     2 00000000 EA007C00000800          jmp 0x8:0x7c00
     3 00000007 9A007C00000800          call 0x8:0x7c00
JMP直接远跳,机器码是0XEA 32位的偏移在前,16位的段选择子在后.
CALL直接远跳,机器码是0X9A 32位的偏移在前,16位的段选择子在后.



call指令对应的机器码好象不对

汇编中call指令和其对应的机器码
u013289971的博客
04-14 4864
call这个指令很神奇,他和别的指令不太一样 对比下,当我们执行 mov eax,1 的时候,他的对应机器码是 66 B8 01 00 00 00 这其中“66 B8”对应的是“mov eax,x” 后面的“01 00 00 00”就是“1”在32中的Little Endian了 所以说,在对mov指令进行汇编时,里面的常数会被直接汇编成机器码 然而call指令比较有意思 这个是一段很简单...
脚本 金盾替换机器码_金盾2018SS加密视频机器码替换工具的分析过程三
weixin_28851659的博客
12-29 1649
现在接着分析生成的DLL文件在做些什么。首先,我们到系统目录下,把生成的2个文件复制出来。 使用OD载入JDPlayer.exe后,直接F9运行.使用OD带的插件StrongOD把生成的DLL注入,看有什么变化。 在模块窗口可以看该DLL已经注入,注入后,我们支看下DLL里有哪些字符值得我们参考的。 字符串可以看到很多有用的信息,我们把这些关键地方都下一个断点,重新加载播放器注入,看它会断在哪个地...
jmp机器码说明
09-07
简单说明了jmp指令的作用和机器码组成方法。txt格式,非常简陋。
jmp指令对应的机器码
心之所向,身之所往
01-07 8385
jmp指令对应的机器码  (2012-08-27 20:18:26) 转载▼ 标签:  杂谈 分类: 驱动逆向 od随便打开一个记事本,汇编几条jmp指令,可以看到如下 地址           HEX              反汇编 010073B4     - E9 7B9E8787      JMP 8888123
call && jmp 指令
weixin_33881753的博客
07-27 157
对于jmp指令:   (1)jmp short 标号相当于(ip)=(ip)+8移 跳转范围是【-128,127】(2)jmp near ptr 标号相当于(ip)=(ip)+16移 跳转范围是【-32768,32767】(3)jmp far ptr 标号 相当于(CS)=标号所在段地址,(ip)=标号所在偏移地址 前两个是段内转移,依据移进行转移,其中第一个是短转移,第二个是...
几种跳转指令和对应的机器码
热门推荐
求索
12-06 1万+
几种跳转指令和对应的机器码 0xE8    CALL    后面的四个字节是地址 0xE9    JMP    后面的四个字节是偏移 0xEB    JMP    后面的二个字节是偏移 0xFF15    CALL    后面的四个字节是存放地址的地址 0xFF25    JMP    后面的四个字节是存放地址的地址 0x68    PUSH    后面的四
关于jmp指令的机器码
myprogramc的博客
04-12 2392
在一般的汇编语言中,如果源代码中的操作数有立即数,那么其对应的机器码中也应有这个立即数,而jmp不同,jmp机器码中给出的是一个移,你要用这个移去加上IP的值才可以得到一个新的IP。 ...
asm.rar_单片机asm指令_机器指令_汇编机器码
09-14
例如,通过比较预期的机器码实际生成的机器码,可以发现编译器优化的问题,或者在遇到程序异常时定问题所在。 总的来说,熟悉并掌握单片机的ASM指令和机器码对于单片机开发人员来说是必不可少的技能。这个...
机器码转换汇编
07-30
机器码汇编语言是计算机科学中的两个基本概念,它们都是硬件紧密相关的编程语言形式。机器码,也称为机器语言,是计算机硬件能够直接理解和执行的唯一指令集,由二进制数字组成。而汇编语言则是一种介于机器码和...
8086-8088指令机器码转换对照表
02-22
了解指令机器码的对应关系,可以帮助我们更深入地理解计算机硬件软件之间的交互。 1. 数据处理指令:包括ADD(加法)、SUB(减法)、MUL(乘法)、DIV(除法)等,它们用于对寄存器或内存中的数据进行算术运算...
jmp指令的机器码编写
YSBJ123的博客
06-12 6083
1.首先直接的jmp分3种 :      Short Jump(短跳转)机器码 EB rel8             只能跳转到256字节的范围内       Near Jump(近跳转)机器码 E9 rel16/32             可跳至同一个段的范围内的地址       Far Jump(远跳转)机器码EA ptr 16:16/32         
Linux中jmp指令,jmp指令对应的机器码
weixin_39753616的博客
05-12 641
短跳转和近跳转指令中包含的操作数都是相对于(E)IP的偏移,而远跳转指令中包含的是目标的绝对地址,所以短/近跳转会出现跳至同一目标的指令机器码不同,不仅会不同,而且应该不同。而远跳转中包含的是绝对地址,因此转移到同一地址的指令机器码相同绝对跳转/调用指令中的内存操作数必须以’*’为前缀,否则gas总是认为是相对跳转/调用指令,而且gas汇编程序自动对跳转指令进行优化,总是使用尽可能小的跳转偏移量。...
jmp指令和call指令
chenjiazhanxiao的博客
05-11 2976
没有给出跳转的目标地址 jmp指令 1. jmp short 标号:由编译器给出偏移地址,范围在-128-127 2. jmp near ptr 标号:段内短转移,得出偏移地址,范围为-32767-32768 3. jmp far ptr 标号:段间转移,由编译器给出的cs和ip的值 call指令 call 标号:效果相当于将当前IP压入栈中,再进行段间近转移 (...
抗艾程序员龚伦强:汇编Call指令详解 E8机器码详解
湖北抗艾程序员龚伦强
05-05 1641
需要注意的是,E8指令的相对偏移量是根据当前指令和目标地址之间的距离来计算的。因此,在编写E8指令时,需要确保目标地址在当前指令的前面或附近,而不是在当前指令的后面。这样,返回地址就被保存在栈中了。总之,在编写机器码E8时,需要仔细考虑目标地址的计算、指令对齐、指令长度以及其他指令的影响等方面,以确保E8指令能够正确地跳转到目标置。需要注意的是,CALL指令是一个相对寻址指令,即目标地址是相对于当前指令的地址。目标地址的计算:E8指令的操作数是一个相对偏移量,需要根据目标地址当前指令的地址来计算。
CALLJMP的区别
hutao1101175783的专栏
04-27 2268
call会把他的下一条指令的地址压入堆栈,然后跳转到他调用的开始处,同时ret会自动弹出返回地址。 JMP只是简单的跳转 call的本质相当于push+jmp ret的本质相当于pop+jmp
汇编语句中的 jmp call 指令
zhu_superman的博客
08-24 1293
汇编语句中的 jmp call 指令
汇编指令学习(CALLJMP,RET)
Web安全工具库
03-06 767
函数指令,可以理解为一个函数,当走到call指令的时候,按一下回车键,就可以看到call里面的内容,即函数内容,如果里面还有calll,说明函数里面套函数。实际运行的时候,首先保存了call下面的地址,到堆栈,然后call里面的语句执行完毕后,ret会返回到call下面的地址。按回车后,跳转到call后面跟着的参数地址,此时,和jmp指令功能相同。我们按F7进入call,堆栈保存了call下面的地址,46B984,当执行到ret命令的时候,会返回到call下面的代码处。
机器码calljmp地址的计算
weixin_30332705的博客
07-01 729
calljmp都是跳转指令,但是call的同时会把pc地址压入堆栈,并且这两种方式都有远和近跳转。下面的分析不全,因为没有在网上找到足够的资料,个人创造这个情景还是有些困难。 1.例子中的call机器码为0xe8。   0x400204ba <+30>: e8 41 b6 05 00 call 0x4007bb00 <__printf>   0x400...
x86 转移指令机器码
gd1985的专栏
12-30 2220
转移指令机器码的计算 短转移指令机器码:无条件和条件都是2个字节。转移范围-128到+127字节。长转移指令机器码:无条件是5个字节,条件是6个字节。子程序调用指令 CALL指令调用分两类。 无条件短转移指令机器码形式为EBXX,其中EB00~EB7F是向后转移,EB80~EBFF是向前转移。转移指令机器码 = 转移类别机器码 + 移量移量 = 目的地址 - 起始地址
8086汇编指令对应机器码
最新发布
01-31
### 8086 Assembly Instruction to Machine Code Mapping 对于8086处理器而言,每条汇编指令都有对应的二进制表示形式即机器码。这种映射关系由CPU的设计决定,并且是编写和理解低级编程的基础之一[^1]。 下面展示了一些常见的8086汇编指令及其相应的机器代码: | 汇编指令 | 助记符 | 机器码 (十六进制) | |----------|--------------|-------------------| | MOV AL, 5 | 移动立即数到AL寄存器 | B0 05 | | ADD AX, BX | 将BX加到AX | 01 C3 | | JMP short label | 跳转到短距离标签 | EB xx | | CALL proc_name | 调用过程 | E8 xx xx | 需要注意的是,在实际应用中,某些操作可能涉及更复杂的地址计算或寻址模式,这会使得最终产生的机器码有所不同。此外,不同版本的手册可能会有略微不同的表述方式[^2]。 为了更好地理解和学习这些映射规则,建议查阅官方文档或者权威书籍来获取完整的表格以及详细的解释说明。同时也可以利用反汇编工具来进行实践探索,通过观察已有的可执行文件中的机器码其源代码之间的对应关系加深认识。 ```asm ; 示例:简单的8086汇编程序片段 section .text global _start _start: mov al, 5 ; 对应于上述表中的第一条指令 add ax, bx ; 对应于第二条指令 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值