VMP学习笔记之反汇编引擎学习（三）1

VMP学习笔记之反汇编引擎学习（三）

参考资料：

本文大量内容抄袭看雪作者：waiWH的VMP系列

1、名称：谈谈vmp的还原(1)

网址：https://bbs.pediy.com/thread-225278.htm

2、名称：汇编指令之OpCode快速入门

网址：https://bbs.pediy.com/thread-113402.htm

3、名称：X86指令编码内幕 --- 指令 Opcode 码

例如：

push 1

push 2

push 3

那么push 1 肯定存放在Address[0]

那么push 2 肯定存放在Address[1]

那么push 3 肯定存放在Address[2]

正文：

1、Vmp_AllDisassembly框架详解

总结：

由于 x86/x64 是 CISC 架构，指令不定长。解码器解码的唯一途径就是按指令编码的序列进行解码，关键是第 1 字节是什么？ 如：遇到 66h，它就是 prefix，遇到

UPX0:00481DDE ; 546: v529 = 0;

UPX0:00481DDE 094 C6 45 F5 00 mov [ebp+var_B], 0

UPX0:00481DE2 ; 547: v531 = 0;

UPX0:00481DE2 094 C6 45 F7 00 mov [ebp+var_9], 0

UPX0:00481DE6 ; 548: v530 = 0;

UPX0:00481DE6 094 C6 45 F6 00 mov [ebp+var_A], 0

1、它们在哪里赋值?

v529 赋值的地方：

case 0x66u: // 指令前缀：66H—操作数大小重载前缀,也可被用作某些指令的强制性前缀.

v529 = 1;

2、1：通过手册我们得知8B对应的是MOV r32,r/m32（Gv, Ev）