Цитата

так называмое "дельта-смещение"

ну т.к. для ХТ 32-битных операндов не существует, то вероятно

Код

PUSH ESP POP EBX

если и не быстрее, то нагляднее...

Это сообщение отредактировал(а) Akina - 12.10.2004, 14:55

Код

call @@GetCurrentOffset @@GetCurrentOffset: pop ebx

Что-то прикольное, надо будет поиграться с этим, чтобы получше понять смысл

Я вот только одно не понимаю. ret же берет то, что лежит наверху стека или нет? А если мы делаем pop, то там уже ничего лежать не будет. Спрашивается - куда мы вернемся?

cardinal стандартная фичка для получения регистра EIP(особенно полезен для кодов выполняемых в стеках, полиморфных программ и т.п. - то есть текущее расположение кода в памяти не известно, а знать хочется ).
Смотри: при Call в стек заносится адресс возврата. При pop стек освобождается и адресс возврата помещается в данном случаии в ebx

Для лудшего понимания:

Код

Адресс(EIP)  Команда 0000:               Call $0 :т.е. ESP=ESP-4; => [ESP]=0005; 0005:               pop ebx :т.е. EBX=[ESP]; => ESP=ESP+4; 0006:               ...

Результат: мы знаем что команда pop ebx находится по адрессу 0005 (PS: т.к. команда pop ebx размером один байт - то EIP=0006)

Удачи.

Это сообщение отредактировал(а) Girder - 12.10.2004, 10:22

Глянул предыдущию страницу... оказывается Chingachguk уже тебе это расписал...
Единственно где он ошибся, это здесь:

Код

;; - а тут в esi заносится адрес метки @@Run lea esi,[ebx-(@@Run-@@Go)]

На самом деле в esi заносится адресс метки @@Go

Цитата

Спрашивается - куда мы вернемся?

Туда... кто вызвал данный код(mov edx,100...)

Удачи.

Это сообщение отредактировал(а) Girder - 12.10.2004, 13:53

Цитата(Girder @ 12.10.2004, 09:46)

Туда... кто вызвал данный код(mov edx,100...)

Girder, вот теперь я допер, спасибо... Просто давно не программировал на асме.

Цитата(Girder @ 12.10.2004, 09:11)

cardinal стандартная фичка для получения регистра EIP(особенно полезен для кодов выполняемых в стеках, полиморфных программ и т.п. - то есть текущее расположение кода в памяти не известно, а знать хочется  ).

Я тоже самое делал проще... Приду домой гляну и напишу как, но что-то там с offset'ом. Операции call, pop не особо быстро выполняются и поэтому я тогда такой вариант не рассматривал.

Код

; не каждому компилятору понятные вещи, лень ; вникаться :) ;; - это не так, паскаль к примеру это поймет ;; - отлично ;; - а тут в esi заносится адрес метки @@Run lea esi,[ebx-(@@Run-@@Go)] ...

А в MS Visual C++, такая вставка у меня не прокатила...

Chingachguk, а зачем тут такие навороты с самокопирующимся кодом, когда ведь можно цикл сделать?

Код

cseg segment byte public assume cs:cseg,ds:cseg org 100h joke proc far start: mov bx,0ffh xor si,si call $+2 add dl,bh lea dx,message mov ah,9 int 21h inc byte ptr ds:[pass] retn joke endp message db 'Pass ' pass db '1.',0dh,0ah,24h cseg ends end start

Я делал так:

Код

...  ...  ...  mov edi, offset lPixel2  jmp lPixel   lPixel2:  ...  ...  ... lPixel:  ...  ...  ... jmp edi

Никаких call и pop и соответственно намного быстрее работает...

Люди. А как вирсы писать на асме? Очень уж хочется пошкодничать
а ещё слышал, что АСМ-любимый язык хакеров! Это правда?

Цитата(Kaskad @ 13.10.2004, 15:59)

Люди. А как вирсы писать на асме? Очень уж хочется пошкодничать

http://forum.vingrad.ru/index.php?act=SR&f=27

Такое на форуме не обсуждать запрещено!

Цитата

Никаких call и pop и соответственно намного быстрее работает...

То, что ты привел - не самокопирующийся код.

Цитата

Люди. А как вирсы писать на асме?

wasm.ru, раздел статей про вирусы. Сайт Z0mbie. VX-ORG.ua. etc.

Цитата

а ещё слышал, что АСМ-любимый язык хакеров!

Насчет "любимый" не обязательно, некоторые любят C. Дело в том, что хакер хочет знать, что происходит на самом деле, а на самом деле выполняются машинные инструкции.

Цитата(Chingachguk @ 14.10.2004, 07:33)

То, что ты привел - не самокопирующийся код.

Я же про "дельта-смещение" говорил...

cardinal

А при чем тут дельта-смещение ? Просто offset-ом ты не получишь, где в данный момент выполняется твой код,.

Может я на ручнике (что я пока не исключаю ), но в чем же разница в этих двух отрывках кода:

Код

... ... ... mov edi, offset lPixel2 jmp lPixel   lPixel2: ... ... ... lPixel: ... ... ... jmp edi

Код

... ... ... call @@GetCurrentOffset jmp lPixel @@GetCurrentOffset: ... ... ... lPixel: ... ... ... pop ebx jmp ebx

Код

mov edi, offset lPixel2

Это КОНСТАНТА. В edi помещается константа. В случае call+pop помещается ~ТЕКУЩЕЕ значение EIP.

Вот теперь начинает допирать потихоньку, но вот Chingachguk что я еще не понимаю:
Если ты где то написал call, то в stack попадет eip в момент call. Это так?