【汉化资料】关于OD调试Jmp指令的问题

shane007

Q

有2个问题,
/ A4 d9 X' k6 O: b' `7 K. W6 D$ Y' F1.用od调试的时候,我发现jmp指令的机器码(Hex 数据)不唯一,比如说
# R$ ?  [0 ?$ e+ Y3 x0 ijmp 00485ada 对应的机器码每次都不一样,
' k. {3 a4 ^" F( P# g004A2FCE ^ E9 072BFEFF jmp 00485ADA
004A2FD3 ^ E9 022BFEFF jmp 00485ADA
004A2FD8 ^ E9 FD2AFEFF jmp 00485ADA
/ @: ]3 ?0 `4 s6 Y. }004A2FDD ^ E9 F82AFEFF jmp 00485ADA
4 e0 D! s  l& K" o2 q004A2FE2 ^ E9 F32AFEFF jmp 00485ADA
004A2FE7 ^ E9 EE2AFEFF jmp 00485ADA
6 S4 \, U; M  r% G; t0 ?9 J我从数据窗口中输入相同的机器码所对应的 jmp指令跳转的地址就不是原来的地址了,请问如何解决?
2,如果我用vb向内存写这条指令应该怎样写?
比如我要向内存地址444AE2中写入机器码E9 EE2AFEFF，下面的问号部分应该怎么写？谢谢``
. M  n. K# W' p8 \7 f9 m  a  aWriteProcessMemory(phandle, ByVal &H444AE2, ????, 4, 0&)

A
( j. j# V: g6 O  b2 O) c2 }1 Z直接的jmp分3种
( e' U; _" W% a( G2 A) ]0 k2 fShort Jump（短跳转）机器码 EB rel8
! ^$ E) {$ u1 b  S+ V5 S只能跳转到256字节的范围内
1 L1 C, I) b+ C( O4 [8 K0 rNear Jump（近跳转）机器码 E9 rel16/32
3 u; x8 m" w, e5 i: z可跳至同一个段的范围内的地址
1 V6 t. v1 i' i% Z9 c, u+ {Far Jump（远跳转）机器码EA ptr 16:16/32
6 W4 _/ ^) w; D7 [* d; x可跳至任意地址，使用48位/32位全指针

要注意的是，短跳转和近跳转指令中包含的操作数都是相对于(E)IP的偏移，而远跳转指令中包含的是目标的绝对地址，所以短/近跳转会出现跳至同一目标的指令机器码不同，不仅会不同，而且应该不同。而远跳转中包含的是绝对地址，因此转移到同一地址的指令机器码相同
---------------------------------------------------------------
& v: L, C% G% q+ M! X下面的指令是这样计算偏移的.
; h5 q4 {( j. @+ h9 U004A2FCE    ^ E9 072BFEFF  jmp    00485ADA
3 s) U3 K  V/ @/ \9 o! G                ========
485ADA-4A2FCE=  FFFE2B0C  这里只是指向当前指令的IP处,实际计算跳转地址要去
掉当前指令的长度,当前的跳转指令需要5个字节,FFFE2B0C-5=FFFE2B07
1 m: b: s* B5 T( ^2 {
注意颠倒顺序,高位在后,就是了.
以下同.
0 j- F3 j8 Q" E3 s! [
! }; E% k% d0 |2 G9 V004A2FD3    ^ E9 022BFEFF  jmp    00485ADA
----------------------------------------------------------------
有一个叫opcoder的程序,可以计算跳转对应的机器码
----------------------------------------------------------------
补充一句，因为(E)IP总是指向下一条指令，所以相对偏移 ＝ 目标 － (E)IP