我正在尝试拆卸十六进制“8B EC”。反汇编程序给了我mov ebp, esp
- “8B” -
MOV指令; - “欧共体” - ???;
反汇编程序如何知道“EC”是ebp, esp?
问问题
276 次
1 回答
3
EC不是具体ebp, esp的,它可能意味着各种事情,具体取决于它前面的操作码。
这可能意味着
/5 esp(例如,在83 EC 10 sub esp, 16)esp, ebp(例如,在89 EC mov esp, ebp)ebp, esp(例如,在8B EC mov ebp, esp)ah, ch(例如,在00 EC add ah, ch)ch, ah(例如,在02 EC add ch, ah)mm5, mm4(例如在0F FC EC paddb mm5, mm4)xmm5, xmm4(例如在66 0F FC EC paddb xmm5, xmm4)sp, gs(例如在8C EC mov sp, gs)gs, sp(例如在8E EC mov gs, sp)st, st(4)(例如在DB EC fucomi st, st(4))st(4), st(例如在DC EC fsub st(4), st)
实际上还有更多。因此,我建议不要单独为 ModRM 分配太多含义,它所使用的操作码(和前缀)非常重要。
于 2015-05-03T11:20:59.087 回答