日本道色综合久久影院,欧美久久一级内射wwwwww.,久久AAAA片一区二区

函數開始處的MOV EDI, EDI的作用收藏

Posted on 2009-04-01 11:19 S.l.e!ep.￠% 閱讀(3619) 評論(1) 編輯收藏引用所屬分類: Reverse Engineering

調試程序調試到系統庫函數的代碼時，總會發現系統函數都是從一條MOVEDI, EDI指令開始的，緊接著這條指令下面才是標準的建立函數局部棧的代碼。對系統DLL比如ntdll.dll進行反匯編，可以發現它的每個導出函數都是如此，并且每個導出函數開始處的MOVEDI, EDI上面緊接著5條NOP指令。比如在WinDbg中查看TextOutA周圍的代碼：
0:000> u TextOutA-0x0a L 10
GDI32!NtGdiTransparentBlt+0xa:
77efc43f ff12?????? ?????call??? dword ptr [edx]
77efc441 c22c00????????? ret???? 2Ch
77efc444 90????????????? nop
77efc445 90????????????? nop
77efc446 90????????????? nop
77efc447 90????????????? nop
77efc448 90????????????? nop
GDI32!TextOutA:
77efc449 8bff??????????? mov ????edi,edi
77efc44b 55????????????? push??? ebp
77efc44c 8bec??????????? mov???? ebp,esp
很明顯，兩個字節的MOVEDI,EDI指令什么事情也不做，那么，就有兩個問題：第一，為什么不直接從函數體開始而要從這條什么都不做的指令開始呢？第二，即使需要在函數一開始空出兩個字節，為什么不直接使用兩條NOP指令，而要使用這條MOV指令呢？在網上查閱一些資料后，得到了答案：
對于第一個問題，答案是為了實現hot-patching技術，即運行時修改一個函數的行為。修改過程如下：把MOVEDI, EDI修改為一條短跳轉指令(一條短跳轉指令恰好兩個字節)，把MOVEDI, EDI上面的五個NOP修改為一條長跳轉指令(一條長跳轉指令恰好五個字節)，短跳轉指令跳到長跳轉指令上，長跳轉指令跳到修改后的函數體上。
對于第二個問題，答案是為了提高效率。執行一條MOV指令比執行兩條NOP指令花費更少的時間。
?
下面是在網上搜索到的相關資料：
http://blogs.msdn.com/ishai/archive/2004/06/24/165143.aspx
在這篇日志中作者指出這是一種實現hot-patching和hot-fix的技術，而且解釋了為什么不使用detours技術來實現hot-patching。此外，作者提到了具體是如何使用這種技術來實現hot-patching的，但是只是一句話帶過。
?
http://msmvps.com/blogs/kernelmustard/archive/2005/04/25/44413.aspx
這篇文章中作者從效率和其它方面詳細解釋了為什么選擇用這種技術來實現hot-patching以及為什么要這樣實現(短跳轉加長跳轉而不是一次性長跳轉)。
?
http://xelf.info/knowledge/MemoryCopy.cpp
這里給出了具體的memcpy的C語言源代碼。如果在安裝VC6的時候選擇了安裝CRT源代碼，則在VC安裝目錄的SRC/INTEL/目錄中有memcmp.asm等文件，它們就是對應的CRT函數的源代碼，這些源代碼中也都有詳細的注釋。
?
另外，在自己的日志http://blog.csdn.net/jcwKyl/archive/2008/03/25/2217428.aspx里面，曾經對strcmp函數中的MOVEDI, EDI指令感到困惑，其實只要看看strcmp.asm中的源代碼就可以明白，那條MOVEDI, EDI完全是為了內存四字節對齊的。源代碼中寫的是align 4，在運行時，如果需要一個填充字節，則會填充一條NOP指令，如果需要兩個字節來填充，則會填充一條MOVEDI, EDI指令，之所以不用兩條NOP，是出于效率的考慮。

標?題:?XP系統程序中開頭的MOV?EDI,EDI指令的解釋
發帖人:chaykovsky
時?間:?2005-11-25?13:55?
原文鏈接:http://bbs.pediy.com/showthread.php?threadid=18863

Feedback

# re: 函數開始處的MOV EDI, EDI的作用收藏 回復 更多評論

2015-01-23 10:28 by abc

不錯，謝謝分享。

刷新評論列表

只有注冊用戶登錄后才能發表評論。
【推薦】100%開源！大型工業跨平臺軟件C++源碼提供，建模，組態！

相關文章: Obsidian Ugdbg 利用Win32 Debug API打造自己的Debugger 函數開始處的MOV EDI, EDI的作用收藏給PE文件增加多個區段(sections) [轉] Sample

網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

S.l.e!ep.￠%

函數開始處的MOV EDI, EDI的作用收藏

Feedback

# re: 函數開始處的MOV EDI, EDI的作用收藏 回復 更多評論

日歷

公告

常用鏈接

留言簿(5)

隨筆分類(1107)

隨筆檔案(1098)

文章檔案(1)

相冊

收藏夾(3)

DataStruct

搜索

積分與排名

最新評論

閱讀排行榜

評論排行榜

S.l.e!ep.￠%

函數開始處的MOV EDI, EDI的作用收藏

Feedback

# re: 函數開始處的MOV EDI, EDI的作用收藏 回復 更多評論

日歷

公告

常用鏈接

留言簿(5)

隨筆分類(1107)

隨筆檔案(1098)

文章檔案(1)

相冊

收藏夾(3)

DataStruct

搜索

積分與排名

最新評論

閱讀排行榜

評論排行榜

# re: 函數開始處的MOV EDI, EDI的作用收藏回復更多評論