調(diào)試程序調(diào)試到系統(tǒng)庫(kù)函數(shù)的代碼時(shí),總會(huì)發(fā)現(xiàn)系統(tǒng)函數(shù)都是從一條
MOVEDI,
EDI指令開(kāi)始的,緊接著這條指令下面才是標(biāo)準(zhǔn)的建立函數(shù)局部棧的代碼。對(duì)系統(tǒng)DLL比如ntdll.dll進(jìn)行反匯編,可以發(fā)現(xiàn)它的每個(gè)導(dǎo)出函數(shù)都是如此,并且每個(gè)導(dǎo)出函數(shù)開(kāi)始處的
MOVEDI,
EDI上面緊接著5條NOP指令。比如在WinDbg中查看TextOutA周?chē)拇a:
0:000> u TextOutA-0x0a L 10
GDI32!NtGdiTransparentBlt+0xa:
77efc43f ff12?????? ?????call??? dword ptr [edx]
77efc441 c22c00????????? ret???? 2Ch
77efc444 90????????????? nop
77efc445 90????????????? nop
77efc446 90????????????? nop
77efc447 90????????????? nop
77efc448 90????????????? nop
GDI32!TextOutA:
77efc449 8bff??????????? mov ????edi,edi
77efc44b 55????????????? push??? ebp
77efc44c 8bec??????????? mov???? ebp,esp
很明顯,兩個(gè)字節(jié)的
MOVEDI,
EDI指令什么事情也不做,那么,就有兩個(gè)問(wèn)題:第一,為什么不直接從函數(shù)體開(kāi)始而要從這條什么都不做的指令開(kāi)始呢?第二,即使需要在函數(shù)一開(kāi)始空出兩個(gè)字節(jié),為什么不直接使用兩條NOP指令,而要使用這條
MOV指令呢?在網(wǎng)上查閱一些資料后,得到了答案:
對(duì)于第一個(gè)問(wèn)題,答案是為了實(shí)現(xiàn)hot-patching技術(shù),即運(yùn)行時(shí)修改一個(gè)函數(shù)的行為。修改過(guò)程如下:把
MOVEDI,
EDI修改為一條短跳轉(zhuǎn)指令(一條短跳轉(zhuǎn)指令恰好兩個(gè)字節(jié)),把
MOVEDI,
EDI上面的五個(gè)NOP修改為一條長(zhǎng)跳轉(zhuǎn)指令(一條長(zhǎng)跳轉(zhuǎn)指令恰好五個(gè)字節(jié)),短跳轉(zhuǎn)指令跳到長(zhǎng)跳轉(zhuǎn)指令上,長(zhǎng)跳轉(zhuǎn)指令跳到修改后的函數(shù)體上。
對(duì)于第二個(gè)問(wèn)題,答案是為了提高效率。執(zhí)行一條
MOV指令比執(zhí)行兩條NOP指令花費(fèi)更少的時(shí)間。
?
下面是在網(wǎng)上搜索到的相關(guān)資料:
http://blogs.msdn.com/ishai/archive/2004/06/24/165143.aspx在這篇日志中作者指出這是一種實(shí)現(xiàn)hot-patching和hot-fix的技術(shù),而且解釋了為什么不使用detours技術(shù)來(lái)實(shí)現(xiàn)hot-patching。此外,作者提到了具體是如何使用這種技術(shù)來(lái)實(shí)現(xiàn)hot-patching的,但是只是一句話帶過(guò)。
?
http://msmvps.com/blogs/kernelmustard/archive/2005/04/25/44413.aspx這篇文章中作者從效率和其它方面詳細(xì)解釋了為什么選擇用這種技術(shù)來(lái)實(shí)現(xiàn)hot-patching以及為什么要這樣實(shí)現(xiàn)(短跳轉(zhuǎn)加長(zhǎng)跳轉(zhuǎn)而不是一次性長(zhǎng)跳轉(zhuǎn))。
?
http://xelf.info/knowledge/MemoryCopy.cpp這里給出了具體的memcpy的C語(yǔ)言源代碼。如果在安裝VC6的時(shí)候選擇了安裝CRT源代碼,則在VC安裝目錄的SRC/INTEL/目錄中有memcmp.asm等文件,它們就是對(duì)應(yīng)的CRT函數(shù)的源代碼,這些源代碼中也都有詳細(xì)的注釋。
?
另外,在自己的日志
http://blog.csdn.net/jcwKyl/archive/2008/03/25/2217428.aspx里面,曾經(jīng)對(duì)strcmp函數(shù)中的
MOVEDI,
EDI指令感到困惑,其實(shí)只要看看strcmp.asm中的源代碼就可以明白,那條
MOVEDI,
EDI完全是為了內(nèi)存四字節(jié)對(duì)齊的。源代碼中寫(xiě)的是align 4,在運(yùn)行時(shí),如果需要一個(gè)填充字節(jié),則會(huì)填充一條NOP指令,如果需要兩個(gè)字節(jié)來(lái)填充,則會(huì)填充一條
MOVEDI,
EDI指令,之所以不用兩條NOP,是出于效率的考慮。
標(biāo)?題:?XP系統(tǒng)程序中開(kāi)頭的MOV?EDI,EDI指令的解釋
發(fā)帖人:chaykovsky
時(shí)?間:?2005-11-25?13:55?
原文鏈接:http://bbs.pediy.com/showthread.php?threadid=18863 |