获得一条指令(opcode and opdata)长度的函数(转)

最新推荐文章于 2022-06-25 13:18:32 发布
原创 最新推荐文章于 2022-06-25 13:18:32 发布 · 4k 阅读 · 1
标签
#c #byte #hook #汇编 #x86
这是一个用于解析x86汇编指令并获取指令长度的C语言函数。通过分析不同指令的opcode,它能识别并计算出包括前缀、modrm、sib等在内的完整指令长度。
eyas在 xhook中提到了在hook的时候,能获取指令长度是一件很有意义的事。

下面是wjl@smth写的一个获取指令长度的函数:

/*
  使用下面的函数可以“反汇编”一条指令,
  可以得到opcode 和 opdata, 以及完整指令的长度
  函数返回1后,disasm_len就是指令的长度
*/
#define C_66           0x00000001       // 66-prefix
#define C_67           0x00000002       // 67-prefix
#define C_LOCK         0x00000004       // lock
#define C_REP          0x00000008       // repz/repnz
#define C_SEG          0x00000010       // seg-prefix
#define C_OPCODE2      0x00000020       // 2nd opcode present (1st==0F)
#define C_MODRM        0x00000040       // modrm present
#define C_SIB          0x00000080       // sib present
#define C_ANYPREFIX    (C_66|C_67|C_LOCK|C_REP|C_SEG)

DWORD disasm_len;                       // 0 if error
DWORD disasm_flag;                      // C_xxx
DWORD disasm_memsize;                   // value = disasm_mem
DWORD disasm_datasize;                  // value = disasm_data
DWORD disasm_defdata;                   // == C_66 ? 2 : 4
DWORD disasm_defmem;                    // == C_67 ? 2 : 4
BYTE  disasm_seg;                       // CS DS ES SS FS GS
BYTE  disasm_rep;                       // REPZ/REPNZ
BYTE  disasm_opcode;                    // opcode
BYTE  disasm_opcode2;                   // used when opcode==0F
BYTE  disasm_modrm;                     // modxxxrm
BYTE  disasm_sib;                       // scale-index-base
BYTE  disasm_mem[8];                    // mem addr value
BYTE  disasm_data[8];                
最低0.47元/天 解锁文章
opdata:机会数据库前端
07-11
操作数据 机会数据库前端。
汇编代码操作寄存器不同,得到不同长度opcode,从而对程序性能造成影响
k5722166的博客
04-13 1147
在分析spec cpu 2017中,汇编指令得到不同的opcode长度,从而对程序性能有影响。差别仅是操作的寄存器不同,一个为%rsp,一个为%rbp: // 使用%rsp寄存器 849d49: 48 8b 84 24 f8 17 00 mov 0x17f8(%rsp),%rax 849d50: 00 // 使用%rbp寄存器 835cfb: 48 8b 85 58 03 00 00 mov 0x358(%rbp),%rax opcode 操作码(Operation Code
PHP获取Opcode及C源码
烟草的香味的博客
06-25 1539
在开始之前, 必须要先介绍一下是什么.众所周知, 在执行的时候, 会将后缀的文件预先编译为字节码文件, 加载字节码文件进行解释执行. 而字节码文件存在的意义, 就是为了加速执行.那么的与之类似, 也是从文件到执行的过程中, 所生成的预编译中间文件.或者也可以这样粗鲁的理解, 程序是由写的二进制程序, 就是将文件翻译为代码的结果.有什么用我们最后再说, 先让我们看一下它长什么样子如何获得文件的呢? 在的源码中, 可以通过函数获取代码解析后的. 但是我们要是为了获取得深入到, 是在有些得不偿失. 好在, 已经有
汇编指令长度计算方法
07-13 854
指令长度与寻址方式有关系,规律或原则如下:一、没有操作数的指令指令长度为1字节。如es:ds:cbwxlat等。二、操作数只涉及寄存器的指令指令长度为2字节。如mov al,[si]mov ax,[bx+si]mov ds,ax等。三、操作数涉及内存地址的指令指令长度为3字节。如mov al,[bx+1]mov ax,[bx+si+3]lea di,[1234]mov [2345]...
Intel指令格式与长度汇编引擎ADE32分析
Kendiv's Box
04-04 5959
标 题: 【翻译】intel指令格式与长度汇编引擎ADE32分析 作 者: 火影 时 间: 2007-10-31,20:31 链 接: http://bbs.pediy.com/showthread.php?t=54180 我翻译的29A#7的一篇文章: ********************************    ***                          ***
Intel硬编码(一):Opcode Map、定长指令指令前缀
Apollon_krj的博客
08-23 9213
IntelCPU的机器指令(硬编码)格式如下图所示: 一个指令由:指令前缀(Instruction Prefixes) + 操作码(Opcode) + ModR/M + SIB + 偏移(displacement) + 立即数(Immediate data)几部分组成,一条指令至少需要有Opcode,其它几部分,在不同指令中可能存在可能不存在。今天我们主要来看Opcode、Instruction
x86/x64 指令长度的解码
u012377031的专栏
10-28 6561
载与http://www.mouseos.com/x64/puzzle01.html 最近在帮肖博士搞X86指令提取,搜了一些好的x86指令解码相关的文章全部出自此人之手( mik ),分享给大家。 在 《x86/x64 指令编码内幕之指令格式》 一文,见 http://www.mouseos.com/x64/format.html 中说过:指令长度为 15 bytes 那么
汇编指令长度的判断
Apelpoo的博客
07-10 5375
汇编语言(王爽)中,讲CS:I[寄存器的地方有这样一则图示: 其中IP=IP+所读指令的字节数。 那么,所读指令的字节数应该怎么判断呢? 汇编指令长度与寻址方式有关,规律或原则如下: 一、没有操作数的指令指令长度为1个字节 二、操作数只涉及寄存器的的指令指令长度为2个字节     如:mov bx,ax 三、操作数涉及内存地址的指令指令长度为3个
PHP内核之opcode的处理函数查找
编程二哥
08-27 1131
首先我们需要知道有个存放 所有opcodeopcode_handler_t 的函数指针字段 的集合 的文件 php-5.5.12\Zend\zend_vm_execute.h void zend_init_opcodes_handlers(void) { /* opcode执行函数的指针字段集合 */ static const opcode_handler_t labels[] =
用c语言写易语言Linux库,【C语言】 用C写了个常用的代码注入库
weixin_33183792的博客
05-14 299
[C] 纯文本查看 复制代码#include #include #include #include "beaengine/BeaEngine.h"#include "keystone/keystone.h"#include "cheatlib.h"HANDLE GetHandleByTitle(const char *pszTitle){assert(pszTitle!=NULL);HWND hW...
IDA脚本笔记01
kelxLZ的博客
01-09 1210
Author:ZERO-A-ONE Date:2019-10-29 0x01 读取和修改数据的函数 01 Byte long Byte(long addr) 从虚拟地址addr处读取一个字节值 02 Word long Word(long addr) 从虚拟地址addr处读取一个字(2字节)值 03 Dword long Dword(long addr) 从虚拟地址addr处读取一个双字(4字节)值 04 PatByte void PatchByte(long addr, long val) 设.
OPCode详解及汇编与反汇编原理
热门推荐
sqzxwq的博客
08-19 2万+
1. 何为OPCode 在计算机科学领域中,操作码(Operation Code, OPCode)被用于描述机器语言指令中,指定要执行某种操作的那部分机器码,构成OPCode指令格式和规范由处理器的指令规范指定。除了指令本身以外通常还有指令所需要的操作数,可能有的指令不需要显示的操作数。这些操作数可能是寄存器中的值,堆栈中的值,某块内存的值或者IO端口中的值等等。 OPCod
pyc逆向之opcode简单置换
zhy_27的博客
06-20 3311
最近做了一道pyc的逆向题,主要难点在于Python环境的opcode被置换,就简单记录一下相关知识。 opcode是什么 opcode其实是指Python源码的操作码,Python源代码*.py编译后可以得到二进制文件*.pyc,*.pyc文件中就含有opcode序列。对于不同版本的Python,其opcode是不完全相同的,这也就是为什么某一版本的Python虚拟机不能执行另一个版本的源...
cpu怎么知道(判断)一条指令有多少个字节?
qq_40627648的博客
11-05 7867
指令译码一般有几个过程(部件):指令预取、指令预分析(预解码)、解码。预取是从cache或者内存取一系列的字节(大小可以保证至少包含一条指令),并设置一个待分析的位置,预分析从此位置逐字节分析,如果是前缀就设置分析状态(因为前缀可能改变默认地址尺寸和操作数的大小,影响后续指令长度),直到不是前缀,就认为是操作码,x86的op code长度一般为1字节,某些2字节,查表就可以直接找出指令长度了。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值