有人可以在x64平台上向我解释以下行为: 如果我从可执行文件调用x64中另一个dll中的函数,反汇编代码看起来像这样:
000000014000149E FF 15 34 CF 00 00 call qword ptr [__imp_CFuncInDll (14000E3D8h)]
我意识到调试器计算到该绝对地址14000E3C0h的相对地址。但是不像x86代码,如果我将反汇编地址14000E3D8h,它看起来像垃圾:
__imp_CFuncInDll:
000000014000E3D8 19 10 sbb dword ptr [rax],edx
000000014000E3DA 25 FC FE 07 00 and eax,7FEFCh
000000014000E3DF 00 14 10 add byte ptr [rax+rdx],dl
000000014000E3E2 25 FC FE 07 00 and eax,7FEFCh
000000014000E3E7 00 00 add byte ptr [rax],al
.......
当我进入调用时,我可以看到代码跳转到垃圾地址而不是跳转到有效地址:
000007FEFC251019 E9 62 00 00 00 jmp CFuncInDll (7FEFC251080h)
我的问题:
当目标在另一个模块中时,如何在x64上解码调用指令?
在x86中,此代码的调用目标为:
FF 15 34 CF 00 00 call
是:target =下一个指令地址+ 0x0000CF34
在x64上看起来并非如此。
答案 0 :(得分:7)
call qword ptr [__imp_CFuncInDll (14000E3D8h)]是通过指针的间接调用。指针的地址是0x14000E3D8。如果查看无意义反汇编的代码字节,它们将包含以下内容:
19 10 25 FC FE 07 00 00
这是一个小端四字是:000007fe.fc251019 - 单步执行时{J}}指令的地址。
基本上,对一个导入函数的调用正在通过一个地址表中的一个条目组合成一个小的“thunk”跳转到实际的函数实现。
答案 1 :(得分:2)
您正在尝试反汇编指向代码的指针而不是代码。
这条指令
000000014000149E FF 15 34 CF 00 00 call qword ptr [__imp_CFuncInDll (14000E3D8h)]
从相对于其后面的指令开头的地址读取指针,即它添加14000149EH,6(此call指令的长度)和0CF34H,到达地址14000E3D8H,读取8那里的字节,那些(那8个字节:19H,10H,25H,0FCH,0FEH,7H,0,0)是地址7FEFC251019H,其中call转移控制。
您应该在地址7FEFC251019H进行拆卸。