21,459
社区成员
发帖
与我相关
我的任务
分享如何区分JMP指令是一般的短跳转还是函数调用
如何编程实现区分出JMP指令是一般的短跳转还是函数的调用?
大致说明一下方法或者有什么特点即可,多谢高人们
大致说明一下方法或者有什么特点即可,多谢高人们
...全文
请发表友善的回复…
发表回复
GAOSHENGWEI 2011-05-12
- 打赏
- 举报
若是函数调用一般都用call指令,jmp一般只用作跳转,否则,跳回来多麻烦。
xtdumpling 2011-05-12
- 打赏
- 举报
纯靠软件反汇编不容易看出来,
迷惑的地方你可以单步试试看就知道了
迷惑的地方你可以单步试试看就知道了
mjznet 2011-05-08
- 打赏
- 举报
哥们儿,我在一楼回复的你明白吗? 下面给你个例子,你看看吧,应该不需要再做更说明了:
1) call A
2) push 0
jmp A
3) push 0
push A
ret
A: pop eax
1) call A
2) push 0
jmp A
3) push 0
push A
ret
A: pop eax
琢磨鸟 2011-05-06
- 打赏
- 举报
那这就不能单纯的看JMP,而必须把眼光放宽,根据上下文来判断了。
star19678051 2011-05-06
- 打赏
- 举报
我也知道函数调用前多数会有PUSH指令,但现在问题是我必须也能识别出那些通过间接跳转去调用的函数,因为如果不识别出来,会影响整个反编译的流程,因为流程是按程序顺序一条一条反汇编出来,所以如果不识别出会导致指令的地址错乱... ...说到自己都糊涂了,不知各位仁兄是否看明白
琢磨鸟 2011-05-05
- 打赏
- 举报
你完全可以把所有的Call都自己用push jmp等等的指令自己模拟出来
琢磨鸟 2011-05-05
- 打赏
- 举报
[Quote=引用 4 楼 star19678051 的回复:]
引用 3 楼 fuchen_1989 的回复:
函数调用要保护返回地址,而返回时要恢复堆栈(即pop返回地址)。
所以,是函数调用的话,在需要有push ip(段内调用) 或push ip;push cs(段间调用) 或者32位汇编中push eip这些个指令,用来保护返回地址。而返回时又需要相应的pop指令返回到调用程序处继续执行。
而jmp指令一般没有
那可不一定哦!就像调用一些……
[/Quote]
所以它的前两个JMP不是函数调用了嘛。
引用 3 楼 fuchen_1989 的回复:
函数调用要保护返回地址,而返回时要恢复堆栈(即pop返回地址)。
所以,是函数调用的话,在需要有push ip(段内调用) 或push ip;push cs(段间调用) 或者32位汇编中push eip这些个指令,用来保护返回地址。而返回时又需要相应的pop指令返回到调用程序处继续执行。
而jmp指令一般没有
那可不一定哦!就像调用一些……
[/Quote]
所以它的前两个JMP不是函数调用了嘛。
天外来客-007 2011-05-05
- 打赏
- 举报
函数调用的特性就是调用前的原来寄存器数据的入栈和调用结束后数据的出栈,从这点出发,或许有解决思路!
琢磨鸟 2011-05-05
- 打赏
- 举报
函数调用要保护返回地址,而返回时要恢复堆栈(即pop返回地址)。
所以,是函数调用的话,在需要有push ip(段内调用) 或push ip;push cs(段间调用) 或者32位汇编中push eip这些个指令,用来保护返回地址。而返回时又需要相应的pop指令返回到调用程序处继续执行。
而jmp指令一般没有
所以,是函数调用的话,在需要有push ip(段内调用) 或push ip;push cs(段间调用) 或者32位汇编中push eip这些个指令,用来保护返回地址。而返回时又需要相应的pop指令返回到调用程序处继续执行。
而jmp指令一般没有
lr2131 2011-05-05
- 打赏
- 举报
王爽<汇编语言>第二版 提到过,call指令是CPU专门提供的函数调用的指令,但用push和jmp指令的组合,自己操作堆栈也是可以实现call指令的效果的。一般来说jmp指令是做转移的,除非写这个代码的人想自己用jmp和push来替代call。不过有上面一条的话,还是看看在jmp之前是否有push的相关操作,实现了函数调用类似的功能。
Lactoferrin 2011-05-05
- 打赏
- 举报
函数调用一般用call,那个JMP [XXXX]只是一个间接跳转,ida能够通过分析导入表确定JMP [XXXX]去的是不是导入函数
star19678051 2011-05-05
- 打赏
- 举报
[Quote=引用 3 楼 fuchen_1989 的回复:]
函数调用要保护返回地址,而返回时要恢复堆栈(即pop返回地址)。
所以,是函数调用的话,在需要有push ip(段内调用) 或push ip;push cs(段间调用) 或者32位汇编中push eip这些个指令,用来保护返回地址。而返回时又需要相应的pop指令返回到调用程序处继续执行。
而jmp指令一般没有
[/Quote]
那可不一定哦!就像调用一些导入函数,先JMP XXXXXX ,然后XXXX中是是通过一句JMP [XXXX],去调用导入函数,IDA就是把XXXX也识别成一个函数... ...
函数调用要保护返回地址,而返回时要恢复堆栈(即pop返回地址)。
所以,是函数调用的话,在需要有push ip(段内调用) 或push ip;push cs(段间调用) 或者32位汇编中push eip这些个指令,用来保护返回地址。而返回时又需要相应的pop指令返回到调用程序处继续执行。
而jmp指令一般没有
[/Quote]
那可不一定哦!就像调用一些导入函数,先JMP XXXXXX ,然后XXXX中是是通过一句JMP [XXXX],去调用导入函数,IDA就是把XXXX也识别成一个函数... ...
mengtao1235 2011-05-04
- 打赏
- 举报
一般在调用函数之前都 要用push传递参数吧。
mjznet 2011-05-04
- 打赏
- 举报
无法区分,除非:
1. 有特定的语句序列;
2. 有 call 指令也调用了这个地址,不过,你能确定call过来,这就一定是函数吗?也很难
1. 有特定的语句序列;
2. 有 call 指令也调用了这个地址,不过,你能确定call过来,这就一定是函数吗?也很难
