0
在书中的rootkit不清楚用法:颠覆Windows内核第5章:运行修补页120-125(格雷格·霍隆德,詹姆斯·巴特勒,2006)JMP FAR
他说, JMP FAR 0x08:0xAAAAAAAA会跳转到0xAAAAAAAA
但是,维基说 0x08:0xAAAAAAAA = (0x08 * 0x10) + 0xAAAAAAAA
什么是真的。
Q
JMP FAR
A
回答
5
在保护模式下,选择器值(在本例中是地址的段部分)不使用“shift by 4”计算。而是将该值用作本地或全局描述符表中的索引,并使用表中的基地址。
链接的代码似乎是为Windows制作的。 Windows使用简单,平坦的内存模型,其中大多数选择器将整个4BG地址空间映射为0的基数。这就是为什么选择器8将映射到0并且跳转将(尝试)到达地址0xAAAAAAAA的原因。
我不知道什么是使用远跳,我认为正常跳跃(无需重新加载选择器)也可以。
相关问题
- 1. PInvoke signiture BSTR FAR *
- 2. cocos2d,near-far
- 3. C asm jmp在执行jmp后返回jmp
- 4. 什么是FAR PASCAL?
- 5. x86 jmp注册
- 6. JMP组装
- 7. Colourbox loading too far down页面
- 8. flot multibar chart - bars too far away
- 9. “@far int * @near IntegerPointer;”的含义
- 10. jQuery's .Closest(Top/Far-Most?)对面
- 11. 添加JMP指令
- 12. ASM x86相对JMP
- 13. 当我调用jmp
- 14. `jmp`到扩展段访问冲突
- 15. 计算JMP的操作码
- 16. x86-64相对jmp性能
- 17. JMP中的Java堆大小
- 18. Flex/bison中的JMP指令
- 19. JMP文件 - 帖子订阅
- 20. 大会 - JMP条件使用标签
- 21. 编译优化呼叫-RET VS JMP
- 22. JMP指令 - 十六进制代码
- 23. JMP做什么堆栈和帧指针?
- 24. 从汇编x86中的JMP返回?
- 25. 计算JMP指令的地址
- 26. 命令程序集jmp,jne等
- 27. 如何在IDA中使用JMP?
- 28. x64:如何做一个相对jmp *%rax?
- 29. JMP自指令通过gcc4.4.6-3
- 30. 如何解释 “JMP DWORD PTR [REL $ 00005e52]”?
我不知道你在问什么? – 2011-05-16 18:35:34