Posted on 2009-04-01 11:19
S.l.e!ep.¢% 閱讀(3631)
評論(1) 編輯 收藏 引用 所屬分類:
Reverse Engineering
調試程序調試到系統庫函數的代碼時,總會發現系統函數都是從一條
MOVEDI,
EDI指令開始的,緊接著這條指令下面才是標準的建立函數局部棧的代碼。對系統DLL比如ntdll.dll進行反匯編,可以發現它的每個導出函數都是如此,并且每個導出函數開始處的
MOVEDI,
EDI上面緊接著5條NOP指令。比如在WinDbg中查看TextOutA周圍的代碼:
0:000> u TextOutA-0x0a L 10
GDI32!NtGdiTransparentBlt+0xa:
77efc43f ff12?????? ?????call??? dword ptr [edx]
77efc441 c22c00????????? ret???? 2Ch
77efc444 90????????????? nop
77efc445 90????????????? nop
77efc446 90????????????? nop
77efc447 90????????????? nop
77efc448 90????????????? nop
GDI32!TextOutA:
77efc449 8bff??????????? mov ????edi,edi
77efc44b 55????????????? push??? ebp
77efc44c 8bec??????????? mov???? ebp,esp
很明顯,兩個字節的
MOVEDI,
EDI指令什么事情也不做,那么,就有兩個問題:第一,為什么不直接從函數體開始而要從這條什么都不做的指令開始呢?第二,即使需要在函數一開始空出兩個字節,為什么不直接使用兩條NOP指令,而要使用這條
MOV指令呢?在網上查閱一些資料后,得到了答案:
對于第一個問題,答案是為了實現hot-patching技術,即運行時修改一個函數的行為。修改過程如下:把
MOVEDI,
EDI修改為一條短跳轉指令(一條短跳轉指令恰好兩個字節),把
MOVEDI,
EDI上面的五個NOP修改為一條長跳轉指令(一條長跳轉指令恰好五個字節),短跳轉指令跳到長跳轉指令上,長跳轉指令跳到修改后的函數體上。
對于第二個問題,答案是為了提高效率。執行一條
MOV指令比執行兩條NOP指令花費更少的時間。
?
下面是在網上搜索到的相關資料:
http://blogs.msdn.com/ishai/archive/2004/06/24/165143.aspx在這篇日志中作者指出這是一種實現hot-patching和hot-fix的技術,而且解釋了為什么不使用detours技術來實現hot-patching。此外,作者提到了具體是如何使用這種技術來實現hot-patching的,但是只是一句話帶過。
?
http://msmvps.com/blogs/kernelmustard/archive/2005/04/25/44413.aspx這篇文章中作者從效率和其它方面詳細解釋了為什么選擇用這種技術來實現hot-patching以及為什么要這樣實現(短跳轉加長跳轉而不是一次性長跳轉)。
?
http://xelf.info/knowledge/MemoryCopy.cpp這里給出了具體的memcpy的C語言源代碼。如果在安裝VC6的時候選擇了安裝CRT源代碼,則在VC安裝目錄的SRC/INTEL/目錄中有memcmp.asm等文件,它們就是對應的CRT函數的源代碼,這些源代碼中也都有詳細的注釋。
?
另外,在自己的日志
http://blog.csdn.net/jcwKyl/archive/2008/03/25/2217428.aspx里面,曾經對strcmp函數中的
MOVEDI,
EDI指令感到困惑,其實只要看看strcmp.asm中的源代碼就可以明白,那條
MOVEDI,
EDI完全是為了內存四字節對齊的。源代碼中寫的是align 4,在運行時,如果需要一個填充字節,則會填充一條NOP指令,如果需要兩個字節來填充,則會填充一條
MOVEDI,
EDI指令,之所以不用兩條NOP,是出于效率的考慮。
標?題:?XP系統程序中開頭的MOV?EDI,EDI指令的解釋
發帖人:chaykovsky
時?間:?2005-11-25?13:55?
原文鏈接:http://bbs.pediy.com/showthread.php?threadid=18863 |