Как найти все команды в памяти процесса, с определенной сигнатурой?

0

1

Известен адрес, он записан в переменную ассемблера, пример, unk_7FF67EEFE300. Как сформировать опкоды для такой команды lea rcx, unk_7FF67EEFE300, чтобы затем, по побайтовой сигнатуре уже найти все подобные команды в памяти процесса.

Ссылка

←	Linux. Необычная ситуация Как восстановить файлы/документы из LVM, если до этого он был в формате NTFS фс?

Ноут стартует только с одной планкой памяти.

→

Известен адрес, он записан в переменную ассемблера

А в ассемблере есть переменные?

ox55ff ★★★★★
(25.12.17 12:02:09 MSK)

Ответ на: комментарий от ox55ff 25.12.17 12:02:09 MSK

Да, есть. Указатель не переменная что ли?

anonymous
(25.12.17 12:15:22 MSK)

Ответ на: комментарий от anonymous 25.12.17 12:15:22 MSK

Указатель не переменная что ли?

Нет, конечно. Ибо указатель — он в языках высокого уровня, там у него есть опеределённая семантика, выход за которую можно только грязными хаками. В ассемблере грубо говоря кроме этих грязных хаков ничего больше и нету вовсе.

vodz ★★★★★
(25.12.17 12:37:51 MSK)

Ссылка

Давненько не брал в руки дизассемблер. Там вроде как печально все, размеры команд плавают, так что целиком придется разбирать. Не?

ilovewindows ★★★★★
(25.12.17 13:46:08 MSK)

Ссылка

простой вариант - напиши на асме свою инструкцию и сконпеляй, потом смотри objdump'ом/hexdump'ом или что у тебя там.

сложный вариант - http://ref.x86asm.net/coder64.html http://www.felixcloutier.com/x86/ и ещё мануал интела в двух частях.

anonymous
(25.12.17 17:45:52 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Linux. Необычная ситуация Как восстановить файлы/документы из LVM, если до этого он был в формате NTFS фс?

General

Ноут стартует только с одной планкой памяти.

→

Похожие темы