retn是什么意思？

justin_0009 2008-10-13 08:52:20

请教一下。最好给个例子。谢谢

...全文

2649 5 打赏收藏转发到动态举报

写回复

用AI写文章

5 条回复

切换为时间正序

请发表友善的回复…

发表回复

gqhyz 2012-10-19

打赏
举报

在16-bit Windows下把代码分成data.code等段的内存模式不同
而Win32只有一种内存模式, 即FLAT模式, 没有64K的段大小限制
所有的Win32的应用程序运行在一个连续,平坦,巨大的4GB空间中

如果你运行在实模式下,那么ret需要考虑段间,还是段内的跳转
如果是在32位保护模式下.整个段空间为2的32次方,也就是4GB
不存在段间跳转.

retn 0x ;就足以满足要求了

youh2009 2009-10-17

打赏
举报

支持cnzdgs的说法。

cnzdgs 2008-10-13

打赏
举报

RETN是段内调用返回；RETF是段间调用返回。两者差别是段间返回要在堆栈中弹出cs。

zhizhi_2008 2008-10-13

打赏
举报

应该是RET N吧？
就是子程序返回，然后把堆栈的N个字节弹出来。
其实就是执行ret后，将n加入sp中，实际上是从堆栈中弹出n个字节的数据，以冲掉在call指令前压入堆栈的参数。
相当于这样：
ret
add sp，n

BAYNPU 2008-10-13

打赏
举报

ret i16:有参数段内返回:IP<--SS:[SP],SP<--SP+2
ret i16:有参数段间返回:IP<--SS:[SP],SP<--SP+2
CS<--SS:[SP],SP<--SP+2,SP+I16
主程序:
MOV AL,0FH
CALL ABC
...
ABC: ABC AND AL,OFH
OR AL,30H
CMP AL,39H
JBE ABC
ADD AL,7
ABC RET
尽管段内返回和段间返回具有相同的汇编助记符,但汇编程序能自动产生不同的指令代码,也可以分别采用RETN和RETF表示段内和段间返回。

郁金香VC++过驱动保护全套免key版天異赤提供教程下载地址获取方法: 第一步:打开下方链接,填写QQ邮箱,系统会往QQ邮箱发一封确认订阅邮件第二步:打开QQ邮箱查看邮件,确认订阅,订阅成功后系统会自动把下载地址和解压密码一起发送到你QQ邮箱http://list.qq.com/cgi-bin/qf_invite?id=585e150c59f30e1213af9a9352367711b2e45c217582cf35 最近时间有些多,一时对网络游戏的保护机制感兴趣了,来研究了一下,听说QQ系列的TesSafe.sys 有些强,于是拿来看看驱动都做了些什么.以下是对DNF和QQffo(自由幻想)研究结果(xp sp2) 在网上找了些TesSafe的资料,说TesSafe并不怎么样现在这个版本保护的结果为:任务管理器中可以看到游戏进程,但OD和CE看不见,更不用说什么调试了,iceword可以看到EPROCSS,但WSysCheck看郁金香驱动不见,自己写程序,也不能注入受保护的游戏进程. 可见,NtOpenProcess被Hook了,恢复SSDT后,没有任何效果,可见是inline hook , 用一般的软件检测一下,没有发现inline hook,看来hook得比较深,在网上一找资料才发现,原来的确够隐藏的郁金香驱动以下是上一个TesSafe版本的分析结果从网上找出来的资料,TesSafe.sys保护原理(DNF的保护,我听说,QQ系列游戏的保护机制都是一样的) ================================================================= 保护得比较没有意思,强度也不高.可能隐藏性稍好一些. 用IDA反汇编TesSafe.sys可以看到：这个驱动一加载，ExAllocPoolWithTag分配了一块内存，然后将一个函数写进这块内存，接着做好保护，然后 PsCreateSystemThread()创建的郁金香驱动线程调用ZwUnloadDriver将驱动卸载。虽然驱动被卸载了，但是ExAllocPoolWithTag分配的内存仍然在起作用。具体来看它如何进行保护：郁金香驱动先是得到了ObOpenObjectByPointer的地址，然后在 NtOpenProcess中搜索0xe8 ，也就是跳转指令，直到遇见RET为止。一但得到0xe8，比较后面的四个字节，如果转换后为 ObOpenObjectByPointer的地址,就把这个地址用自己代理函数的地址转换后替换掉，达到保护自己的目的。郁金香驱动用WinDbg看了看，果然在我的机器上:0x80570e41这个在 NtOpenProcess中的区域被TesSafe.sys修改,原来这里是:80570e41 e87c8dffff call nt!ObOpenObjectByPointer (80569bc2) 系统通过ObOpenObjectByPointer来通过 EPROCESS得到Handle返回给调用者。TENCENT在这里下了一个跳转：（TesSafe.sys加载后。）80570e41 e826542a78 call f881626c 很明显，系统执行到这里就会调用0x6881626c的函数，也就是 TesSafe.sys的 ObOpenObjectByPointer代理函数。这样，Client.exe就会在这里被过滤掉，从而让R3程序无法得到QQT的句柄，从而保护进程。郁金香驱动 ================================================================================= 我手头拿到的版本是2008年8月5号的,把TesSafe逆出来一看,比上个版本有所加强. 在这个新版本中,TesSafe一共InLine Hook了六个函数,我只逆出并恢复了五个其中: 1. KeAttachProcess NtOpenProcess NtOpenThread 这三个函数的HOOK方式与上一个版本一样,就是上面蓝色字体的方法,把本应该call ObOpenObjectByPointe的代码修改成了call他自己的代码, 然后在他自己的代码中处理保护的进程上面三个函数,原来正常的代码为 80581ce3 e8a658ffff call nt!ObOpenObjectByPointer (8057758e) 被HOOK后的代码变成了 call a8724af4(TesSafe自己搞出来的函数) lkd> u a8724af

网上的一大堆回答把我给看晕了，太多答非所问的东西，很简单的东西都被弄得很复杂。经过一番查找，我在这里记录下来： retn指令的含义举例 retn 10 含义是： pop eip add esp, 10h 注意 retn 10 的 10 是十六进制的，它的十进制数是 16。 ...

在破解的时候，我想在一个call的头部直接返回，如何判断到底是使用retn、retn 4还是retn 0C...... 是看call头部的代码吗？？我知道的只是retn xx的结果是在ESP上+xx，可似乎有时候我都用retn也没什么关系，这是为什么？ UD]Arthas 2008-04-19, 16:24:43 使用retn，因为你说的是在call的头部返回，也就

retn 4 是个函数返回指令。以前一直纠结这个retn的寄存器操作顺序，手头正好在调试，详细跟了一下，豁然开朗，特分享。先假设个环境： retn 4未执行时，ESP=0013feb8；EIP=5d1d8b97；而[0013feb8]=7c974a19 执行retn 4之后：首先 EIP=[0013feb8] ：即此时cpu先指挥EIP获取到栈中0013f

转自 http://blog.sina.com.cn/s/blog_679b38460100xhbj.html 在破解的时候，我想在一个call的头部直接返回，如何判断到底是使用retn、retn 4还是retn 0C...... 是看call头部的代码吗？？我知道的只是retn xx的结果是在ESP上+xx，可似乎有时候我都用retn也没什么关系，这是为什么？