函数调用之mov edi, edi

最新推荐文章于 2024-10-27 07:00:00 发布
最新推荐文章于 2024-10-27 07:00:00 发布
阅读量1.6k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 反汇编逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huadetianxia/article/details/17323705
很多函数前面几个指令都是下面这样:
mov     edi, edi
push    ebp
mov     ebp, esp

第一行指令,是不是没用呢?


你还会在上面发现5个没用的nop

这样的做法是方便做hook,比如你要挂钩这个函数,你可以用一个2字节的短jmp(eb xx)转移到那5个nop那里,然后在那5个nop那里做一个大的jmp(e9 xx xx xx xx) 跳到任意地址完成你的jmp

至于为什么是mov edi,edi而不是2个nop,因为mov edi,edi比2个nop执行起来快

-------------------------------------------
补充一下,这样做还可以防止多线程引起的意外,比如是2个nop或者不用这种方法直接修改5个字节来hook的话,有可能引起这样的问题。在你修改了其中一部分,而剩下的那部分未完成的情况下,另一个线程执行到了这里,就会因为错误的代码导致程序崩溃或者产生预期之外的结果。

函数开始处的MOV EDI, EDI的作用
jcwKyl的专栏
12-24 8167
调试程序调试到系统库函数的代码时,总会发现系统函数都是从一条MOV EDI, EDI指令开始的,紧接着这条指令下面才是标准的建立函数局部栈的代码。对系统DLL比如ntdll.dll进行反汇编,可以发现它的每个导出函数都是如此,并且每个导出函数开始处的MOV EDI, EDI上面紧接着5条NOP指令。比如在WinDbg中查看TextOutA周围的代码: 0:000> u TextOutA-0x0a
笔记:函数调用过程、参数和寄存器
OSSRS
10-29 2709
这里写自定义目录标题函数调用过程、参数和寄存器GDB函数调用过程长参数函数调用 函数调用过程、参数和寄存器 之前实现macOS的coroutine汇编代码时,有分析过如何实现函数状态保存和恢复,这几天仔细看了下函数调用和传参,以及几个寄存器的使用。 GDB GDB可以查看当前代码的汇编代码和寄存器,可以多次执行选择不同的layout: (gdb) layout pre 如下图所示: 按照汇编指令执行,可以用: (gdb) si 函数调用过程 代码参考frame0.cpp, 总结如下图所示: rb
关于MOV EDI,EDI
功夫牛的专栏
01-22 1162
最近在逆向一个程序,以前倒是没有怎么注意。无论在OD,还是在ida里面,进入一个子程序后会发现有这样三句代码:     MOV    EDI, EDI     PUSH   EBP     MOV    EBP, ESP第二句和第三句的意思相信不用多说,就是第一句 mov ediedi。于是查了资料说法不一,在http://blogs.msdn.com/ishai/archive
MOV EDI,EDI指令的解释(整理)
绝迹·危言的专栏
11-24 7947
XP系统程序中开头的MOV  EDI,EDI指令的解释: 在VS .NET 2003的VC7\INCLUDE目录中的listing.inc文件中定义了1到7个字节的无破坏性NOP操作的宏 MOV  EDI,EDI 就是两个字节的NOP 在程序中与NOP指令的意义相同。 为什么要用MOV  EDI,EDI 而不用两个NOP? 我的理解是: 用两个NOP指令耗费的CPU时钟周期
mov edi,edi和Hot Patching详解
linuxheik的专栏
06-19 1227
mov edi,edi和Hot Patching的一点解释 2011年7月13日代码疯子发表评论阅读评论 最近发现不少函数开头都有mov edi,edi这样的指令,正好在《Advanced Windows Debugging》一书中看到了一点解释。书上说是为了Hot Patching,网上也有这样的解释。 不过网上的解释有两种情况,一种是函数开头有mov edi, e
Win32API起始处的mov edi, edi与用户空间InlineHook
weixin_30508309的博客
09-29 143
在x86平台上,无论是在调试器中跟到系统DLL中时,还是反汇编某个系统DLL时,经常会发现很多API的第一条汇编指令都是mov edi, edi。根据经验来讲,C函数的汇编形式,应该是首先push ebp保存原始栈顶,然后mov ebp, esp构造新的栈帧,接下来sub esp, 0nnh分配局部变量空间,之后就是函数体了,结束时先mov esp, ebp恢复栈指针,然后pop ebp恢复栈顶指...
反汇编深入分析函数调用
07-27
在计算机程序设计中,函数调用是程序中最基本的操作之一。一个函数可以完成特定的功能,并且可以通过调用该函数的方式重复使用这些功能,提高代码的复用性和可维护性。函数调用涉及几个关键步骤:传递参数、跳转到...
C语言函数调用栈笔记
Bass_Horst的博客
10-27 1274
函数调用以值传递时,传入的实参(locMain1~3)与被调函数内操作的形参(para1~3)两者存储地址不同,因此被调函数无法直接修改主调函数实参值(对形参的操作相当于修改实参的副本)。等价于指令序列movl %ebp, %esp(恢复原ESP值,指向被调函数栈帧开始处)和popl %ebp(恢复原ebp的值,即主调函数帧基指针)。能被所有函数共享的资源。被调函数通过修改栈顶指针的值,为自己的局部变量在运行时栈中分配内存空间,并从帧基指针的位置处向低地址方向存放被调函数的局部变量和临时变量。
C语言函数调用参数压栈的相关问题
07-29
"C语言函数调用参数压栈的相关问题" 本文主要讲解了C语言函数调用参数压栈的相关问题。函数调用时,参数入栈的顺序是一个经常被问到的问题。很多人认为参数入栈的顺序是从右向左,但是这只是部分正确的。事实上,...
函数调用过程中函数栈详解
s11show_163的博客
01-21 705
当进程被加载到内存时,会被分成很多段 代码段:保存程序文本,指令指针EIP就是指向代码段,可读可执行不可写,如果发生写操作则会提示segmentation fault 数据段:保存初始化的全局变量和静态变量,可读可写不可执行 BSS:未初始化的全局变量和静态变量 堆(Heap):动态分配内存,向地址增大的方向增长,可读可写可执行 栈(Stack):存放局部变量,函数参数,当前状态,函数调用信息等,向地址减小的方向增长,可读可写可执行 环境/参数段(environment/argumentssection).
Move EDI, EDI的作用
weixin_34010566的博客
01-01 200
玩WinDBG的时候, 发现函数的反汇编代码的最开始部分总是包含一条move edi, edi的指令. 比如下面的代码static unsigned int __stdcall Fibonacci_stdcall(unsigned int n) { switch(n) { case 0: STOP_ON_DEBUGGER;return 0; ...
函数开始处的MOV EDI, EDI的作用收藏
linuxheik的专栏
06-19 1132
函数开始处的MOV EDI, EDI的作用收藏 BYTE JMP[10] = {0x8b,0xFF, 0x55, 0x8b, 0xEC, 0xE9, 0x00, 0x40/0x00, 0x00, 0x00}; Posted on 2009-04-01 11:19 S.l.e!ep.¢% 阅读(631) 评论(0)  编辑 收藏 引用 所属分类: Reverse Engineerin
妙用mov edi,edi和5个nop实现inline hook
linuxheik的专栏
10-20 816
妙用mov edi,edi和5个nop实现inline hook 2008年2月22日 | 分类: 其它技术 | 标签: inline hook, nop 这方法MJ很早时就说过了,简单重复下。 大家应该发现大部分API的第一条指令都是mov edi,edi,比如在我的电脑上MessageBoxA的代码如下: 77D5058A > 8BFF
EDI 学习开发(一)
weixin_30830327的博客
08-02 720
  最近有个需求,关于EDI 的开发,效果烂成一坨屎,写个总结,记录这坨屎。   配置文件:01.EDI.Export.Config(在EDI 服务器SystemConfig目录下)        02.EDI.TypeConfig(三个地方使用:客户端SystemConfig,AppServer/Systemconfig,EDI 服务/SystemConfig)        0...
EDI那些事
lindali1115的博客
05-28 720
一、EDI的定义:    联合国标准化组织将EDI定义为:企业之间将商业或行政事务处理文件按照一个公认标准,形成结构化的事务处理或报文数据格式,从计算机到计算机电子传输方法。二、EDI报文标准分为三大类:1.ANSI X12(美国)    ANSI X12是为了满足商务文档之间的点子数据交换也就是EDI通讯由美国国家标准委员会在1979年创立的认可标准委员会(ASC)x12制定的EDI报文标准。2...
EDI的使用方式
qq_41968449的博客
01-10 651
创建EDI即电子数据交换,是为了简化交易信息的管理和流动。在EDI之前,所有交易都是手动完成的,并通过传真或邮件进行交换。这将导致处理过程漫长而拖沓,可能需要数天的时间才能完成。 例如,买方创建了一份采购订单,他们必须先在头脑中构思这个订单。接下来通过邮件将采购订单发送给供应商。供应商收到采购订单并将其输入库存系统。通常情况下,买方必须打电话与卖方确认采购订单,并询问商品的装运时间。整个过程非常耗费人力,而且有可能出现严重的延误和错误。有了EDI,任何属于商业文件的数据都可以使用EDI进行传输。EDI提供了
XP系统程序中开头的MOV EDI,EDI指令的解释
xu的blog
06-10 1622
导读:5   发帖人:chaykovsky   时 间: 2005-11-25 13:55   原文链接:http://bbs.pediy.com/showthread.php?threadid=18863   详细信息: XP系统程序中开头的MOV  EDI,EDI指令的解释:在VS .NET 2003的VC7/INCLUDE目录中的listing.inc文件中定义了1到7个字节的无破
Why does the compiler generate a MOV EDI, EDI instruction at the beginning of functions?
crkres9527
04-19 516
Why does the compiler generate a MOV  EDI, EDI instruction at the beginning of functions?   I’ve recently noticed that on the XPSP2 Beta that I am running the function prologs look like this:
ubuntu中函数调用指令
最新发布
04-03
### Ubuntu 环境下函数调用的相关指令及示例 在 Ubuntu 环境中,函数调用通常涉及高级语言(如 C/C++)、低级汇编以及跨语言调用等多种场景。以下是几种常见情况及其对应的指令和示例。 #### 1. 高级语言中的函数调用 在 C 或 C++ 编程中,函数调用是最基本的操作之一。以下是一个简单的 C++ 函数调用示例: ```cpp #include <iostream> void greet(const char* name) { std::cout << "Hello, " << name << "!" << std::endl; } int main() { greet("World"); // 函数调用 return 0; } ``` 上述代码展示了如何定义并调用一个名为 `greet` 的简单函数[^5]。通过命令行可以将其编译并运行: ```bash g++ example.cpp -o example_program && ./example_program ``` #### 2. 使用汇编分析函数调用过程 对于更深层次的理解,可以通过反汇编查看函数调用的具体实现细节。例如,在 x86_64 架构下,GCC 可以将 C++ 文件转换为汇编代码以便观察栈帧的构建方式[^4]。 假设有一个简单的 C++ 文件 `func_call.cpp` 如下所示: ```cpp int add(int a, int b) { return a + b; } int main() { return add(3, 4); } ``` 使用 GCC 将其转为汇编代码: ```bash g++ -S func_call.cpp -masm=intel ``` 生成的汇编文件可能类似于以下内容: ```asm add: mov eax, edi ; 将第一个参数 (a) 移动到寄存器 EAX add eax, esi ; 对第二个参数 (b) 进行加法操作 ret ; 返回结果 main: sub rsp, 8 ; 调整堆栈指针 mov edi, 3 ; 设置第一个参数为 3 mov esi, 4 ; 设置第二个参数为 4 call add ; 调用 add 函数 xor ecx, ecx ; 清零 ECX 寄存器 add rsp, 8 ; 恢复堆栈指针 ret ; 结束程序 ``` 这段汇编代码清晰地显示了函数调用过程中使用的寄存器传递参数的方式。 #### 3. Linux 系统调用中的函数调用 Linux 提供了一些核心系统调用接口,比如 `fork()` 和 `exec()` 家族函数。这些函数允许进程创建子进程或者替换当前进程映像。以下是一段演示 `fork()` 和 `execl()` 功能的小型程序[^2]: ```c #include <stdio.h> #include <unistd.h> #include <sys/types.h> int main(void) { pid_t child_pid; /* 创建一个新的子进程 */ child_pid = fork(); if (child_pid == 0) { // 子进程中执行的部分 execl("/bin/ls", "ls", "-l", NULL); // 替换当前进程图像 perror("execl failed"); _exit(EXIT_FAILURE); } else if (child_pid > 0) { // 父进程中执行的部分 printf("Child process created with PID %d\n", child_pid); } return 0; } ``` 该程序利用 `fork()` 来派生新的子进程,并通过 `execl()` 加载另一个可执行文件 `/bin/ls` 列出目录内容。 #### 4. 跨语言函数调用 如果需要从一种语言调用另一种语言的功能,则可以借助工具库完成这一目标。例如,Pybind11 支持在 C++ 中嵌入 Python 解释器从而调用 Python 方法或类实例化对象[^3]。 下面给出一个基于 Pybind11 实现的例子: ```cpp #define PY_SSIZE_T_CLEAN #include <pybind11/pybind11.h> namespace py = pybind11; // 声明要绑定至Python环境的一个C++函数 double multiply(double value, double factor) { return value * factor; } PYBIND11_MODULE(example_module, m) { m.def("multiply", &multiply, "A function which multiplies two numbers."); } ``` 接着按照官方文档说明安装依赖项之后即可测试模块加载效果: ```bash python3 -m pip install . python3 -c 'import example_module; print(example_module.multiply(7, 9))' ``` 以上介绍了不同层次上的函数调用机制及相关指令应用案例。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值