Besoin d'aide pour comprendre E8 asm appel d'instructions x86
J'ai besoin d'un coup de main afin de bien comprendre les instructions de montage. Il me semble que j'appelle une adresse à someUnknownValue += 20994A?
E8 32F6FFFF - call std::_Init_locks::operator=+20994A
Vous devez vous connecter pour publier un commentaire.
Tout ce que vous utilisez pour obtenir le démontage est d'essayer d'être utile, en donnant la cible de l'appel d'un décalage de certains symbole qu'il sait à ce sujet-mais étant donné que le décalage est si grand, c'est probablement confondu.
La cible réelle de l'appel peut être calculée comme suit:
E8
est uncall
avec un offset relatif.par exemple
0xFFFFF632
.-0x9CE
.call
instruction est à<some address>
et est de 5 octets de long; la prochaine instruction est à<some address> + 5
.<some address> + 5 - 0x9CE
.mov reg, imm64; call reg
est utilisé.Si vous analysez le fichier PE, avec un désassembleur, le désassembleur pourrait vous avais donné le mauvais code. La plupart des logiciels malveillants écrivain utilise insertion de E8 comme anti-démontage de la technique. Vous pouvez vérifier si les codes ci-dessus E8 sont des instructions de saut où le saut de l'emplacement est après E8.