JMP指令转换公式推导

看完郁金香第020课总结：

同样的一句指令 JMP 88881234在不同位置有以下现象

找规律：

88881234 - 010073bb = 87879E79

88881234 – 010073c0 = 87879E74

88881234 – 010073c5 = 87879E6F

因为机器码如E9 749e8787 是按字节排列的所以87879E74显示出来是749e8787

所以可得以下公式

JMP的地址(88881234) – 代码地址(010073bb) – 5（字节） = 机器码跳转地址(E9 87879e74)

typedef struct _JMPCODE

{

BYTE E9;

ULONGJMPADDR;//88881234=B

}JMPCODE,*PJMPCODE

应用：

跳过ssdt_hook

例如：NtOpenProcess 被hook 真正的地址为 0xAAAAAAAA（old），hook之后的地址为0xBBBBBBBB(cur)。

那么我们可以修改0xBBBBBBBB里的内容，内容为一条JMP指令。以达到绕过ssdt_hook的目的。

//jmp结构
typedef struct _JMPCODE
{BYTE E9;ULONGJMPADDR;//88881234=B
}JMPCODE,*PJMPCODE//定义jmp结构
JMPCODE JCode;
JCode.E9=0xE9;  //jmp机器码
JCode.JMPADDR=cur-old-5;//计算JMP 后面的数值
_asm
{
mov ebx,cur  //取当前地址lea  ecx,Jcode //取结构地址mov ax,byte ptr [ecx] Mov byte ptr[ebx],ax //写jmpmov eax,[ecx+1] //移动指针mov [ebx+1],eax //写跳转
}

JMP指令转换公式推导相关推荐

17-equ伪指令和jmp指令
1. equ指令 equ指令(英文为:equal),在Nasm汇编器中是一条伪指令.我们知道伪指令不能直接执行,需要经过编译器处理转换成纯汇编指令.类似equ指令的语法,在很多编程语言中都存在,有的叫 ...
jmp指令对应的机器码
od随便打开一个记事本,汇编几条jmp指令,可以看到如下地址 HEX 反汇编 010073B4 - E9 7B9E8787 JMP 8 ...
转移地址在内存中的jmp指令检测点9.1
转移地址在内存中的jmp指令有两种格式: (1)jmp word ptr 内存单元地址(段内转移) 功能:从内存单元地址处开始存放着一个字,是转移的目的偏移地址. mov ax,0123h mov d ...
转移的目的地址在指令中的jmp指令转移地址在寄存器中的jmp指令
机器码中并没有包含转移的目的地址,只是给了一个位移的范围,通过位移的方式,实现对ip寄存器的修改. 转移的目的地址在机器码中的jmp指令 jmp far ptr s 转移的目的地址在寄存器中的jmp指 ...
操作符offset 和 jmp指令
转移指令的原理转移指令:可以修改IP或者同时修改CS和IP的指令(jmp.loop.call) 总的来说,转移指令就是可以控制CPU执行内存中某处代码的指令. 8086的转移行为有一下几类: 只修改 ...
基于8086CPU微处理器的汇编学习之JMP指令
JMP指令: 更改CS:IP寄存器的内容,以让CPU从新指定的内存地址开始继续执行指令. 格式: JMP 段地址:偏移地址 ------------------------------------- ...
贺利坚老师汇编课程47笔记:jmp指令无条件转移只修改IP
指路老师的博客 JMP指令的功能无条件转移,可以只修改IP,也可以同时修改CS和IP(段间转移) JMP指令要给出的信息转移的目的地址转移的距离 JMP 2000:1000;段间转移(远转移) ...
汇编jmp指令的理解与用法
这篇文章是在学习过程中对于转移地址偏移地址的理解以及网上缺乏帮助理解计算转移地址偏移地址的前提下诞生的.初次写知识点分享,如有误,请指出多包含. JMP是在编写程序中经常使用的指令,它的功能是转移到指 ...
jmp指令(0903)
本文为<汇编语言程序设计>0903小节例程.点击链接-进课程主页. jmp指令:依据位移进行转移程序1: assume cs:codesg codesg segmentstart: mo ...

JMP指令转换公式推导

JMP指令转换公式推导相关推荐

最新文章

热门文章