【汉化资料】关于OD调试Jmp指令的问题

shane007

Q

3 K- K8 [" L. a0 @6 A" d5 {有2个问题,
' S5 v. v" Y! Y5 t1.用od调试的时候,我发现jmp指令的机器码(Hex 数据)不唯一,比如说
jmp 00485ada 对应的机器码每次都不一样,
004A2FCE ^ E9 072BFEFF jmp 00485ADA
3 Q* D& W4 O# s  q. i$ K; _* L004A2FD3 ^ E9 022BFEFF jmp 00485ADA
004A2FD8 ^ E9 FD2AFEFF jmp 00485ADA
& Z; H0 ]1 V# }+ j' [004A2FDD ^ E9 F82AFEFF jmp 00485ADA
5 O, \9 ]5 u5 U) E8 Q$ Q% [004A2FE2 ^ E9 F32AFEFF jmp 00485ADA
' I1 M: k" [; ], ?" p004A2FE7 ^ E9 EE2AFEFF jmp 00485ADA
5 c/ v& W) P0 b! l  p/ X6 A/ K, g我从数据窗口中输入相同的机器码所对应的 jmp指令跳转的地址就不是原来的地址了,请问如何解决?
2,如果我用vb向内存写这条指令应该怎样写?
比如我要向内存地址444AE2中写入机器码E9 EE2AFEFF，下面的问号部分应该怎么写？谢谢``
WriteProcessMemory(phandle, ByVal &H444AE2, ????, 4, 0&)
& G/ \$ U! W" d
- X4 o3 |# A+ _( k) r& zA
直接的jmp分3种
Short Jump（短跳转）机器码 EB rel8
只能跳转到256字节的范围内
Near Jump（近跳转）机器码 E9 rel16/32
可跳至同一个段的范围内的地址
; u, r- K4 [" `6 x+ t/ @Far Jump（远跳转）机器码EA ptr 16:16/32
可跳至任意地址，使用48位/32位全指针
* q& F, K; ?+ j9 L; v
要注意的是，短跳转和近跳转指令中包含的操作数都是相对于(E)IP的偏移，而远跳转指令中包含的是目标的绝对地址，所以短/近跳转会出现跳至同一目标的指令机器码不同，不仅会不同，而且应该不同。而远跳转中包含的是绝对地址，因此转移到同一地址的指令机器码相同
---------------------------------------------------------------
+ z' I5 \$ g" w3 J下面的指令是这样计算偏移的.
9 V1 p0 u, Q5 h3 F004A2FCE    ^ E9 072BFEFF  jmp    00485ADA
                ========
: P% O* @$ X" Q  x5 G4 m485ADA-4A2FCE=  FFFE2B0C  这里只是指向当前指令的IP处,实际计算跳转地址要去
1 E' V" P( _+ i$ w5 ~% s掉当前指令的长度,当前的跳转指令需要5个字节,FFFE2B0C-5=FFFE2B07
$ p& M% B. K; @
8 U, ^- |, \# d6 T$ p- b注意颠倒顺序,高位在后,就是了.
; c( h, d4 p, e以下同.

5 S% n2 y7 J6 w% M  ^004A2FD3    ^ E9 022BFEFF  jmp    00485ADA
) P, D: f! E- n# B, u/ N' q2 a----------------------------------------------------------------
有一个叫opcoder的程序,可以计算跳转对应的机器码
9 X- h. K2 Y/ n6 T----------------------------------------------------------------
5 [  P" ^; ^4 |9 v. j2 H补充一句，因为(E)IP总是指向下一条指令，所以相对偏移 ＝ 目标 － (E)IP