opcode

文章目录

- opcode
opcode表
前缀
ModR/M
练习
需要记住

操作码就是机器码。最多6部分，最长15字节。php虚拟机（zend vm）、jvm中的最小操作单元都可以成为opcode。

opcode由以下域组成：

prefixes - opcode - ModR/M - SIB - displacement - immediate

opcode是必须的。

0x40 inc eax _emit(0x40)

与指令并非简单的一一对应关系：

90 nop
90 xchg eax, eax

SIB:scale(比例因子), index, base。它们加上立即数(immediate)可以组成最复杂的相对基址变址寻址。

opcode表

一字节：高四位作为行索引，低四位作为列索引。

0F二字节指令：使用第二个字节的高四位和低四位作为行列索引。

一字节表OF表格为2-byte escape (Table A-3)

0F38、0F3A三字节指令：使用第三个字节的高四位和低四位。

观察一字节表，可以发现，这些指令都遵循寄存器编号的顺序来为汇编指令设计编码的，而寄存器编号如下：

hex	000	001	010	011	100	101	110	111
r8	al	cl	dl	bl	ah	ch	dh	bh
r16	ax	cx	dx	bx	sp	bp	si	di
r32	eax	ecx	edx	ebx	esp	ebp	esi	edi
Segments	DS	ES	FS	GS	SS	CS	IP

操作数格式为Zz，

大写Z为寻址方式，比如，G是由ModR/M的reg指定寄存器，E是由ModR/M的R/M指定操作数；
小写z为操作数类型，比如，v表示word/dword/qword

常用寻址方式：

A，直接寻址，没有ModR/M字节
E, ModR/M的R/M域指定寄存器或内存地址。
F，EFLSGS/RFLAGS
G, ModR/M的Reg域指定寄存器.
I, 立即数
S，ModR/M的Reg域指定段寄存器.

常用操作数类型：

b, 1 byte
w, word
d, dword, 4 bytes
dq, dqword, 16 bytes
q, qword, 8 bytes
qq, qqword, 32 bytes

前缀

前缀(Prefixes)的大小为1Byte，用于描述指令的前缀情况，他们可以被划分为5个集合:

66：切换操作数大小
67：切换地址大小
F2/F3：重复操作前缀
2E/36/3E/26/64/65：修改默认段（段超越）
F0：锁定前缀

段超越：

2E - CS
36 - SS
3E - DS
26 - ES
64 - FS
65 - GS

一个OpCode可能会有几个Prefixes，顺序可能打乱。

40               INC EAX
66 40          INC AXF3 66 AD      REP LODSW
F2 AC            REPNE LODSB8B 03             MOV EAX, [DWORD DS:EBX]
658B 03        MOV EAX, [DWORD GS:EBX]

如果Prefixes不能对随它之后的OpCode起作用，那么它就会被忽略。

8AC1            MOV AL, CL
66 BAC1       MOV AL, CL

ModR/M

OPCode的主要解析逻辑都集中在ModR/M域，通过对照Intel的opcode解析OPCode中的ModR/M域就能确定指令的具体格式。

练习

02 1B

02：add Gb, Eb

1B: 00 011 011

mod:00 ebx, ebx

add bl, [ebx]

2E:8925 00112233 mov dword ptr cs:[33221100], esp

查一下0F指令：2-byte escape

需要记住

E8 : call 立即数
E9 : jmp
FF15 : CALL 地址

FF15需要查询Table A-6, opcode extensions…

0040103B      E8 00000000        call    00401040
00401040      FF15 00112233      call    dword ptr [33221100]
00401046    - E9 00112233        jmp     3362214B

intel opcode相关推荐

20179311《网络攻防实践》第九周作业
网络攻防课本第九章总结 1.恶意代码定义恶意代码指的是使计算机按照攻击者的意图执行以达到恶意目标的指令集.首先恶意代码是一组指令集,恶意代码的实现方式可以多种多样,如二进制执行文件.脚本语言代码.宏 ...
20159313网络攻击与防范第九周学习总结
网络攻防课本第九章总结 1.恶意代码定义恶意代码指的是使计算机按照攻击者的意图执行以达到恶意目标的指令集.首先恶意代码是一组指令集,恶意代码的实现方式可以多种多样,如二进制执行文件.脚本语言代码.宏 ...
全网最硬核PWN入门_图解分析
PWN 序 Linux环境下的基础知识从C源码到可执行文件的生成过程程序的编译与链接什么是可执行文件可执行文件分类PE/ELF ELF文件格式区分节和段的存储区域加载ELF / 查看节和段 ...
《翻译》Intel 64 与 IA-32 架构软件开发者手册卷1翻译
<前言> 翻译自官方的PDF版手册,可以从下述站点下载英文原版: http://www.intel.com/content/www/us/en/processors/architectur ...
java opcode 反汇编,OPCode详解及汇编与反汇编原理
1. 何为OPCode 在计算机科学领域中,操作码(Operation Code, OPCode)被用于描述机器语言指令中,指定要执行某种操作的那部分机器码,构成OPCode的指令格式和规范由处理器的 ...
OPCode详解及汇编与反汇编原理
1. 何为OPCode 在计算机科学领域中,操作码(Operation Code, OPCode)被用于描述机器语言指令中,指定要执行某种操作的那部分机器码,构成OPCode的指令格式和规范由处 ...
Opcode指令解析
2.1 实模式,保护模式,以及虚拟8086模式指令格式 Intel-64和IA-32架构指令编码是图2-1所示格式的子集.一条指令包括可选的指令前缀(顺序任意),主操作码(最多3 ...
【翻译】 Intel(R) 800 Series序列网卡 ice 驱动安装
概述 ======== 此驱动程序支持内核版本3.10.0及更新版本.但是,有些功能可能需要更新的内核版本.关联的虚拟功能(VF)驱动程序对于这个驱动程序,是iavf.可以使用ethtool.lspc ...
什么是OpCode？
什么是OpCode? 不管计算机技术的发展如何日新月异,其最基本的东西是不会突然改变的.OpCode就是这其中的一样东西--因此,Bill Gates的这句话用在这里并不太合适. 在开始回答什么是Op ...

intel opcode