1 2 3 4 5 6 7 89 / 9 页

论坛徽章:: 36

81楼 [报告]

发表于 2010-01-20 10:31 |只看该作者

（这个 - 6是什么意思，大家指点一下）
在地址0x0处埋下代码kernel_code 函数，因为0x90 = nop, 0xe9 = jmp
上面代码可表示为在映射的地址0处，执行

查了一下手册。这里E9对应的jmp是相对跳转。也就是jmp 后面跟的操作数，应该是应跳转到的地址和当前下一条指令地址之间的差值。
当前jmp下一条指令的地址应该是6，所以jmp后面的操作数应该是&kernel_code -6.
也就是*(unsigned long *)2 = &kernel_code -6

见intel的手册

E9 cw JMP rel16 A N.S. Valid
Jump near, relative,displacement relative to next instruction. Not supported in 64-bit mode.
E9 cd JMP rel32 A Valid Valid
Jump near, relative, RIP =RIP + 32-bit displacement sign extended to 64-bits

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

W.Z.T

家境小康

论坛徽章:: 0

82楼 [报告]

发表于 2010-01-20 13:54 |只看该作者

原帖由 Godbach 于 2010-1-20 10:31 发表

查了一下手册。这里E9对应的jmp是相对跳转。也就是jmp 后面跟的操作数，应该是应跳转到的地址和当前下一条指令地址之间的差值。
当前jmp下一条指令的地址应该是6，所以jmp后面的操作数应该是&kernel_code ...

nop, jmp各占一个字节， offset战4个字节，jmp后面的地址为便宜地址就是kernel_code的地址减去jmp之后下一条指令的地址，下一条指令的地址就是1+1+4，因为是从内存0开始算的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Godbach

版主

论坛徽章:: 36

83楼 [报告]

发表于 2010-01-20 13:57 |只看该作者

mem[0] = '\xff';
mem[1] = '\x25';
*(unsigned int *)&mem[2] = (sizeof(unsigned long) != sizeof(unsigned int)) ? 0 : 6;
*(unsigned long *)&mem[6] = (unsigned long)&own_the_kernel;

另外一个例程使用的是绝对跳转，FF 25 是代表的JMP，但是这里mem[2]里面存储的int型数值是做什么呢？