如何通过取消引用 MOV 操作 [Assembly x86] 来覆盖堆栈?
How the stack is overwritten via deferencing MOV operation [Assembler x86]?
我正在学习如何使用 Ghidra 工具,我有一个关于如何解释一个函数的问题。这是简化版:
以这种情况为例:堆栈的位置 [RBP – 0x40] 具有此值:0xFFFF7710(实际上此值是堆栈中另一个元素的地址...但是对于问题,这是无关紧要的)。
现在我们将该值的地址存储在寄存器中:
LEA RAX, [RBP – 0x40]
最后,我们执行这两条指令:
MOV EDX, 0xFFFF5520
MOV [RAX], DL
堆栈[RBP – 0x40]中的最终内容是0xFFFF7720、0x00000020或0xFFFFFF20 ?
是通过最后一个MOV操作覆盖堆栈[RBP – 0x40]的所有内容还是只覆盖最后一个字节?
谢谢。
结果是0xFFFF7720。将一个字节存储到内存中不会影响该字的其他字节。 (你可以测试一下...)
我正在学习如何使用 Ghidra 工具,我有一个关于如何解释一个函数的问题。这是简化版:
以这种情况为例:堆栈的位置 [RBP – 0x40] 具有此值:0xFFFF7710(实际上此值是堆栈中另一个元素的地址...但是对于问题,这是无关紧要的)。
现在我们将该值的地址存储在寄存器中:
LEA RAX, [RBP – 0x40]
最后,我们执行这两条指令:
MOV EDX, 0xFFFF5520
MOV [RAX], DL
堆栈[RBP – 0x40]中的最终内容是0xFFFF7720、0x00000020或0xFFFFFF20 ?
是通过最后一个MOV操作覆盖堆栈[RBP – 0x40]的所有内容还是只覆盖最后一个字节?
谢谢。
结果是0xFFFF7720。将一个字节存储到内存中不会影响该字的其他字节。 (你可以测试一下...)