1、0x70~0x7F

  • EIP无法像通用寄存器那样用mov来修改,只能通过类似于jz,JNB,JNE JBE,call等的跳转指令来进行修改
  • 条件跳转,后跟一个字节立即数的偏移(有符号),共两个字节。
  • 如果条件成立,跳转到当前指令地址+当前指令长度+Ib
  • 最大值:向前跳转7F,向后跳80
0x80    JO

0x81    JNO

0x82    JB/JNA/JC

0x83    JNB/JAE/JNC

0x84    JZ/JE

0x85    JNZ/JNE

0x86    JBE/JNA

0x87    JNBE/JA

0x88    JS

0x89    JNS

0x8A    JP/JEP

0x8B    JNP/JPO

0x8C    JL/JNGE

0x8D    JNL/JGE

0x8E    JLE/JNG

0x8F    JNLE/JG

二、0x0F 0x80 -0x0F 0x8F

  • 条件跳转,后跟四个字节立即数的便宜(有符号),共五个字节
  • 如果条件成立,跳转到 当前指令地址+当前指令长度+Id
  • 最大值:向前跳7FFFFFFF,向后跳80000000
0x0F 0x80    JO

0X0F 0X81  JNO

0X0F 0X82  JB/JNAE/JC

0X0F 0X83  JNB/JAE/JNC

0X0F 0X84  JZ/JE

0X0F 0X85  JNZ/JNE

0X0F 0X86  JBE/JNA

0X0F 0X87  JNAE/JA

0X0F 0X88  JS

0X0F 0X89  JNS

0X0F 0X8A  JP/JPE

0X0F 0X8B  JNP/JPO

0X0F 0X8C  JL/JNGE

0X0F 0X8D  JNL/JGE

0X0F 0X8E  JLE/JNG

0X0F 0X8F  JNLE/JG

三、其他指令

0XE0  LOOPNE/LOOPNZ Ib(Jb)  共2字节

ECX=ECX-1当ZF=0&&ECX!=0时跳转到 当前指令地址+当前指令长度+Ib

指令包含一个要添加到指令指针寄存器的相对偏移量(例如,JMP  (0 e9),循环)。  

 立即数

一个字节

双字,不管操作数大小属性如何
0XE1  LOOPE/LOOPZ Ib(Jb)  共2字节
ECX=ECX-1当ZF=1&&ECX!=0时跳转到 当前指令地址+当前指令长度+Ib
0xE2  LOOP Ib(Jb)  共2字节
ECX=ECX-1当ECX!=0时跳转到 当前指令地址+当前指令长度+Ib
0XE3  JrCXZ Ib(Jb)(在32位模式中,rCX为ECX)  共2字节

当ECX=0时跳转到当前指令地址+当前指令长度+Ib

(自己控制步长)
0xE8  CALL Id(Jd)  共5字节

CALL指令的下一条指令地址入栈后,跳转到 当前指令地址+当前指令长度+Id
0xE9 JMP Id(Jd)  共5字节

跳转到 当前指令地址+当前指令长度+Id

经典定长指令-修改EIP的更多相关文章

  1. 经典变长指令ModR/M

    变长指令 不是所有的指令都是,看到opcode就知道有多长(定长指令),当指令中出现内存操作对象的时候,就需要在操作码后面附加一个字节来进行补充说明,这个字节被称为ModR/M. 该字节的8个位被分成 ...

  2. 经典变长指令SIB

    前言 ModR/M字段是用来进行内存寻址的,可当地址形如DS:[EAX + ECX*2 + 12345678]时,仅仅靠ModR/M字段,是描述不出来的. 这时就在ModR/M后面增加一个SIB字节, ...

  3. 经典变长指令-ModRM

    一.如何计算ModRM 0X88 MOV Eb,Gb G:通用寄存器 0X89 MOV Ev,Gv E:寄存器/内存 0X8A MOV Gb,Eb b:字节 0X8B MOV Gv,Ev v:Word ...

  4. 经典变长指令-RegOpcode

    一.回顾Mod/M结构 Intel 64 and IA-32 Architectures Instruction Format ModR/M结构图 Mod与R/M共同描述E的意义(内存或者通用寄存器) ...

  5. 汇编指令之JMP,CALL,RET(修改EIP的值!!!)

    简单介绍了,JMP指令按市面上的意思来说是跳转到指定地址,但我这里不这么说,JMP, CALL, RET三个指令均为修改EIP值的指令,EAX, ECX, EBX, EDX, ESP, EBP, ES ...

  6. 报文格式:xml 、定长报文、变长报文

    目前接触到的报文格式有三种:xml .定长报文.变长报文 . 此处只做简单介绍,日后应该会深入学习到三者之间如何解析,再继续更新.——2016.9.23 XML XML 被设计用来传输和存储数据. H ...

  7. 定长内存池之BOOST::pool

    内存池可有效降低动态申请内存的次数,减少与内核态的交互,提升系统性能,减少内存碎片,增加内存空间使用率,避免内存泄漏的可能性,这么多的优点,没有理由不在系统中使用该技术. 内存池分类: 1.      ...

  8. (入门篇 NettyNIO开发指南)第五章-分隔符和定长解码器使用

    TCP    以流的方式进行数据传输上层的应用协议为了对消息进行区分,往往采用如下4种方式. (1)消息长度固定,累计读取到长度总和为定长LEN 的报文后,就认为读取到了一个完整的消息,将计数器置位, ...

  9. 通过修改EIP寄存器实现远程注入

    功能:通过修改EIP寄存器实现32位程序的DLL注入(如果是64位,记得自己对应修改汇编代码部分) 原理: 挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,然后把相关的指令机器码和数据拷贝 ...

随机推荐

  1. tableau绘制热力地图

    一.右键国家地区和城市字段分别设置为地理角色-国家地区和城市 二.双击国家地区和城市添加到工作表 三.把订单id拖拽至标记卡的详细信息,标记改为密度显示,颜色设置为温度发散 四.最终整理结果如下图所示

  2. mysql的事务详解

    事务及其ACID属性 事务是由一组SQL语句组成的逻辑处理单元,事务具有以下4个属性,通常简称为事务的ACID属性. 原子性(Atomicity) :事务是一个原子操作单元,其对数据的修改,要么全都执 ...

  3. [BUUCTF]REVERSE——[BJDCTF2020]easy

    [BJDCTF2020]easy 附件 例行检查,无壳,32位程序 32位ida载入,main函数和字符串理都没有找到有关flag的提示 根据main函数的提示,有关flag的函数应该被藏起来了,在左 ...

  4. Python变量的作用域在编译过程中确定

    为了节省读友的时间,先上结论(对于过程和细节感兴趣的读友可以继续往下阅读,一探究竟): [结论] 1)Python并不是传统意义上的逐行解释型的脚本语言 2)Python变量的作用域在编译过程就已经确 ...

  5. 动态导入模块__import__("str") importlib标准库

    解释器内部使用的为__import__('str') #!/usr/bin/env python # Author:Zhangmingda print('我是aa类 ') #被import的时候就执行 ...

  6. git命令行常用操作总结

    关于 更多使用细节(grammar和book),请参考 官网 1.上传代码 1.1 创建自己的远程Repository, github或者gitee 1.2 创建本地git仓库 $ git init ...

  7. 【LeetCode】55. Jump Game 解题报告(Python & C++)

    作者: 负雪明烛 id: fuxuemingzhu 个人博客: http://fuxuemingzhu.cn/ 目录 题目描述 题目大意 解题方法 贪心 日期 题目地址:https://leetcod ...

  8. 【LeetCode】319. Bulb Switcher 解题报告(Python)

    [LeetCode]319. Bulb Switcher 解题报告(Python) 标签(空格分隔): LeetCode 题目地址:https://leetcode.com/problems/bulb ...

  9. kotlin+springboot+mybatis-puls+mysql搭建gradle-web工程

    kotlin+springboot+mybatis-puls+mysql搭建web工程 ​ 前段时间研究了spring security及OAuth2系列之后,本来打算研究spring的,但是部门发生 ...

  10. uniapp以及微信小程序中scroll-view隐藏滚动条 自定义滚动条

    隐藏滚动条 1.全局隐藏滚动条,在app.vue中 ::-webkit-scrollbar{ display: none; } 2.局部隐藏藏滚动条 样式没有使用scoped属性时, 否则无效. .u ...