Я пытаюсь перехватить функцию, заменив ее начало инструкцией JMP, которая должна привести к моей функции. Но проблема в том, что я не знаю, как рассчитать смещение JMP для нацеливания на адрес моей функции. Что ж, я знаю, как это сделать, если вы переместитесь вперед в памяти (Адрес назначения - Текущий адрес), но у меня нет идей, как определить это, когда вы вернетесь в память.
Может кто-нибудь помочь?
Просто используйте отрицательное смещение для перехода назад.
И не забудьте учесть размер инструкции JMP. Смещение относится к концу инструкции JMP, а не к началу. Если текущий адрес - это то место, где вы собираетесь записать JMP, тогда вам понадобится сдвиг 5 + dest-current, поскольку размер инструкции JMP плюс смещение, если 5 байтов.
Это основная математика, которую вы должны уметь вычислить. :)
Если JMP вперед Destination - Origin, то JMP назад будет Origin - Destination
Подумайте об этом в простых цифрах: если вы хотите JMP перемотать со 100 на 110, ваш JMP будет 110 - 100 = 10. Если вы хотите JMP назад на ту же сумму, это будет 100 - 110 = -10.
100 на 0x100 и 110 на 0x110, и математика останется прежней.
- person Ken White; 30.09.2011
относительные скачки имеют знак, то есть они имеют положительное и отрицательное смещение с использованием знакового бита. абсолютные прыжки абсолютны, так что это не имеет значения. см. тома 2A и 2B руководства по эксплуатации Intel.
Быть хитрым
Сделайте фиктивный вызов в место над вашей функцией
call location1
.location1
call location2
.location2
pop ax
ret
.yourfunction
Теперь у вас есть адрес location2 в ax
добавьте 3 к ax, и у вас будет адрес памяти вашей функции
