成功制作“Hello,World!”后x86-64中的程序，我想要制作一个可以查看堆栈顶部的程序(无需弹出堆栈，并使用esp寄存器，这样我就可以了解它是如何工作的)。这是NASM中的程序:externGetStdHandle,WriteConsoleA,ExitProcesssection.bssdummyresd1section.text%macroprint3movrcx,%1movrdx,%2movr8,%3movr9,dummypushNULLcallWriteConsoleA%endmacro_start:movrcx,STD_OUTPUT_HANDLEcallGetStdH

编辑/更新所以我认为让我感到困惑的是:LEAESI,[EBX+8*EAX+4]加载一个地址，但是:LEAESI,[EBX+4]加载内容(值？)而不是地址。这怎么不是取消引用？我也不知道是什么mov[eax+1],ecx是吗？原始问题我正在努力学习阅读汇编，但我开始挣扎了。抱歉，如果有拼写错误，我无法从我的实验室机器上复制。这是来自恶意代码，因此它可能不是最佳的。我想我在某处理解有缺陷，但我就是想不通。var_30=byteptr-30hleaeax,[ebp+esi+var_30]我的理解是，加载有效地址将成为从[basepointer-30h+esi]计算出的任何地址。我不知道esi

这很难说/问，所以请耐心等待:当我们看到汇编的输出时，这就是将要在CPU核心上执行的内容。但是，如果一个CPU有多个内核——所有的程序集都是在同一个内核上执行的吗？来自同一程序的程序集会在什么时候开始在不同的内核上执行？所以如果我有(汇编伪):ADDx,y,zSUBp,x,q我如何知道ADD和SUB是否会在同一个内核上执行？这与亲和性有关吗？我以为affinity只是将进程固定到CPU，而不是核心？我问这个是因为我想尝试了解您是否可以合理地预测连续的汇编指令是否在同一个内核上执行，以及我是否可以控制它们只在同一个内核上执行。我想了解如何决定将执行相同的程序代码从一个内核更改为另一个内核

我正在研究NtDll如何在x86进程中工作，并且我使用IDAPRO调试了函数NtCreateFile。它的代码如下:moveax,55h;NtCreateFilemovedx,offset_Wow64SystemServiceCall@0;calledx;Wow64SystemServiceCall();retn2ChWow64SystemServiceCall():movedx,largefs:30hmovedx,[edx+464h]testedx,2jzshortloc_7738B5C8int2Eh;DOS2+internal-EXECUTECOMMAND;DS:SI->count

我正在使用MASM进行一些汇编编程。当我尝试运行我的程序时，它会在遇到“callmyFunction”时立即崩溃，即使我已经从过程中删除了所有代码。这是我的代码，如有任何帮助，我们将不胜感激。.486.modelflat.stack100hExitProcessPROTONEAR32stdcall,dExitCode:DWORD.code_start:callmyFunctionINVOKEExitProcess,0PUBLIC_startmyFunctionprocnear32myFunctionendpEND 最佳答案 将myF

在java中，如何在dowhile循环中只执行一次指令do{intparam;//executethisontyonetime(dependsofparam)//otherinstructionsinstructions}while(condition)谢谢 最佳答案 把你想只执行一次的语句放在一起是一种方法，但是，当然，这假设语句出现在循环的末尾或开始，并且不依赖于循环的条件on在循环中(之前或之后)。如果你有这样的事情:do{//dosomestuff//onetimecondition//dosomemorestuff}whi

最近我向社区询问了两个偏移量的差异Visual-C++inlineassemblerdifferenceoftwooffsets并很快得到回复，非常感谢。现在我遇到了另一个问题，这个问题更糟。我有这样的指令..naked...__asm{...moveax,dwordptr[ebx+offsetdata1]...}真正的问题是它被编译为moveax,[offsetdata1]此行没有编译器警告(/WAll模式)，但代码已更改且更改很多-想象一下，它完全被抛出ebx+部分!默默。它是编译器错误还是功能？也许我必须指定一些额外的标志？问题仅在于偏移量，因为moveax,dwordptr[e

所以我正在尝试使用WindowsAPI(DbgEng.h/.lib)“反汇编”函数来查看模块中某个函数(我知道它已导出)的指令。但是....它返回了一个意外错误。IDebugClient*clt;IDebugControl*ctrl;voidInitializeInterfaces(void){HRESULTstatus;if((status=DebugCreate(__uuidof(IDebugClient),(void**)&clt))!=S_OK){Utils::add_log("IDebugClientDebugCreatefailed:0x%X\n",status);}clt

我很好奇某些功能是如何在幕后实现的，例如:pEvent->WaitForCompletion(INFINITE,&evCode);我试图进入它但失败了。有办法吗？ 最佳答案 您没有说是哪个实际版本的VisualStudio，但我相信所有版本都包含设置反汇编您没有源代码的native代码的能力。但是，默认的调试器选项通常设置为禁用这种显示。检查工具->选项中的调试选项并启用“如果源不可用则显示反汇编”，禁用“仅我的代码”和其他类似选项。一个警告:WaitForCompletion的核心实现很可能是在内核模式代码中(特别是如果pEven

比如这个linux系统调用int$0x80。SUA是否实现了类似的东西？如果是这样，命令是什么？这个特定的代码是我想更改以在SUA上使用的代码#cpuid.sSampleprogramtoextracttheprocessorVendorID.section.dataoutput:.ascii"TheprocessorVendorIDis'xxxxxxxxxxxxx'\n".section.text.globl_start_start:movl$0,%eaxcpuidmovl$output,%edimovl%ebx,28(%edi)movl%edx,32(%edi)movl%ecx,3