x64 JMP指令的汇编解码

Question

x64 JMP指令的汇编解码

assemblyx86x86-64disassemblymachine-code

3

我很少使用汇编语言，所以需要专家帮助解码我必须处理的一小段代码。

0000:  48 ff 25 61 57 07 00    rex.W jmp QWORD PTR [rip+0x75761]        # 0x75768
0007:  cc                      int3

这是一次内存间接跳转至rip+0x75761处的8字节/64位地址，因此跳转目标的绝对地址从中加载的值为0007 + 0x75761 = 0x75768，对吗？

- user118708

2

顺便说一下，REX.W是多余的。 - harold

谢谢！不幸的是，代码在客户的x64 Windows 10安装中使用了user32.dll函数。我不知道那段代码是怎么来的，因为它不是标准的微软代码。所以我必须对它进行适应。 - user118708

你确定这是64位机器码吗？如果以32位代码反汇编，0x48 字节将是 dec 或 inc。（我想是dec eax）。 - Peter Cordes

@user118708 可以从64位进程调用32位代码，反之亦然，您需要进行远跳转以更改模式，然后才能调用该进程。虽然它不是官方支持的，但您可以这样做。 - fuz

@FUZxxl 我非常感兴趣，希望有可用的示例告诉我如何做。DLL函数的默认调用约定是调用方和被调用方之间强制执行相同的位数。由于DLL加载机制决定是否加载DLL，因此我没有将32位DLL加载到64位进程的选择。对于我的目的，64位DLL提供不了任何优势，如果我有这个选择，我很乐意在64位进程中调用32位函数。 - user118708

显示剩余2条评论

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Cody Gray · Accepted Answer

这是在x86-64上的标准尾递归序列，由Microsoft编译器生成。

是的，正如您所说，它是对64位内存地址0x75768的间接跳转。在执行此代码时，rip等于7，因此rip + 0x75761 == 0x7 + 0x75761 == 0x75768。该代码将无条件地转移控制到地址0x75768处的指令。

随后的int 3只是填充，但它也起到了墙的作用。由于前一个指令中的无条件分支，因此不应该到达此点。如果到达了，CPU会陷入陷阱，因为这是“断点”中断。

关于REX.W前缀，Harold技术上是正确的，它是不必要的，但原因可能与您想象的不同。有些令人惊讶的是，在x86-64上使用寄存器间接跳转时，Windows需要REX.W前缀以确保堆栈展开成功。堆栈展开代码在内部使用此作为信号。Ross Ridge写了一篇优秀答案，介绍了Windows x64中带有REX前缀的JMP指令的目的。

在这种情况下，这并不是严格必要的，因为这是一个带有IP相对操作数的间接跳转，但编译器显然仍在发出它。它处理这个的逻辑可能并不复杂，也许它总是生成这个代码以保持一致性。或者官方文档没有详细说明堆栈展开代码的实现方式。多一点REX.W前缀也没有真正的劣势，所以最好还是安全第一。