【汉化资料】关于OD调试Jmp指令的问题

shane007

Q

有2个问题,
1.用od调试的时候,我发现jmp指令的机器码(Hex 数据)不唯一,比如说
jmp 00485ada 对应的机器码每次都不一样,
5 |6 q9 C" L! @7 E  [9 A004A2FCE ^ E9 072BFEFF jmp 00485ADA
004A2FD3 ^ E9 022BFEFF jmp 00485ADA
& I9 r, p9 N3 M. H; e7 m004A2FD8 ^ E9 FD2AFEFF jmp 00485ADA
004A2FDD ^ E9 F82AFEFF jmp 00485ADA
( a4 w- p: H: Y8 J004A2FE2 ^ E9 F32AFEFF jmp 00485ADA
. F# l' a* B$ i8 q004A2FE7 ^ E9 EE2AFEFF jmp 00485ADA
8 b7 H: u1 \: E  v/ k我从数据窗口中输入相同的机器码所对应的 jmp指令跳转的地址就不是原来的地址了,请问如何解决?
2,如果我用vb向内存写这条指令应该怎样写?
) B) d9 x5 F( L比如我要向内存地址444AE2中写入机器码E9 EE2AFEFF，下面的问号部分应该怎么写？谢谢``
WriteProcessMemory(phandle, ByVal &H444AE2, ????, 4, 0&)
1 s- g2 v* j1 u/ U2 [$ g) ?
A
* b" Q' Q3 _# m- |& N7 @) y/ V直接的jmp分3种
Short Jump（短跳转）机器码 EB rel8
只能跳转到256字节的范围内
: s* e) i# o) c7 h0 INear Jump（近跳转）机器码 E9 rel16/32
: s7 F# w" P$ ^% _可跳至同一个段的范围内的地址
  t0 w. y1 D* ^) tFar Jump（远跳转）机器码EA ptr 16:16/32
6 D6 b) K/ z' m8 a: F( F$ H- w- ?, f( |( u  O可跳至任意地址，使用48位/32位全指针
0 d5 I9 D; W& t3 L$ W' k
) u. X3 x) x2 ?  p- M要注意的是，短跳转和近跳转指令中包含的操作数都是相对于(E)IP的偏移，而远跳转指令中包含的是目标的绝对地址，所以短/近跳转会出现跳至同一目标的指令机器码不同，不仅会不同，而且应该不同。而远跳转中包含的是绝对地址，因此转移到同一地址的指令机器码相同
---------------------------------------------------------------
2 o6 U) z5 n! S下面的指令是这样计算偏移的.
: Y4 \. ^' p2 F0 Z5 K7 n# Q004A2FCE    ^ E9 072BFEFF  jmp    00485ADA
6 r' c& P! Q- _5 K9 v( j& {                ========
485ADA-4A2FCE=  FFFE2B0C  这里只是指向当前指令的IP处,实际计算跳转地址要去
掉当前指令的长度,当前的跳转指令需要5个字节,FFFE2B0C-5=FFFE2B07
% i4 `4 M2 `9 l( q4 [+ @
注意颠倒顺序,高位在后,就是了.
4 P/ w7 ^0 S% X0 Q  S以下同.
7 B# p# n, h. F+ m, D5 G+ n
004A2FD3    ^ E9 022BFEFF  jmp    00485ADA
----------------------------------------------------------------
6 Z$ h3 o7 h4 F有一个叫opcoder的程序,可以计算跳转对应的机器码
----------------------------------------------------------------
补充一句，因为(E)IP总是指向下一条指令，所以相对偏移 ＝ 目标 － (E)IP