Найти все команды в памяти процесса, с определенной сигнатурой

[7in]

Короче говоря, если есть относительный адрес RA и адрес инструкции IA, тогда:
• Если нужно найти абсолютный адрес, то делаем IA+RA+длина инструкции
• Если нужно найти аналог, который находится по адресу NA, то ищем на месте относительного адреса число IA-NA+RA (где IA и RA – адреса из любой найденной ранее инструкции). Т.е. тут, по сути, уже неважно чем является NA – началом инструкции, той частью инструкции, где хранится RA или конец инструкции. Главное везде придерживаться одного правила и, разумеется, это должна быть одна и та же инструкция. Ну а если разные (разной длины), тогда в качестве NA должен быть адрес следующей инструкции...

[arvitaly]

Цитата:

Значение регистра RIP – это адрес следующей инструкции после текущей. Я думаю, не проблема его найти, раз мы знаем адрес текущей инструкции...

Я правильно понимаю, что вот если у нас есть код

Цитата:

.text:00007FF6792C1B17
48 8D 15 8A 40 13 01
lea rdx, var1

то 48 - указатель на вид регистра, 8D - lea, 15 - rdx, 8A401301 - это 0x113408A (18038922) - смещение от

Код:

.text:00007FF6792C1B1E

(адрес следующей команды)?

[waleri]

Цитата:

Сообщение от arvitaly

Я правильно понимаю

Откройте мануал процессора да посмотрите.

[arvitaly]

Хорошо, спасибо

[R71MT]

arvitaly, есть такое понятие, как "Дельта смещение" (гугл в курсе).
Получив дельту, сможешь отталкиваться уже от неё..