Opcode xchg

[Dark Snake]

hey,

Ich habe heute mit Ollydbg ein bisschen rumgespielt und bin aus was merkwürdiges gestoßen:

Man kann xchg eax,ecx in 3 Varianten ausdrücken:

1. 0x91
2. 0x87,0xC1
3. 0x87,0xC8

Nun meine Frage: sind wirklich alle 3 Schreibweisen korrekt oder ist Ollydbg nur ein bisschen Buggy das er die Opcodes so interpretiert?

mfg

Dark Snake

 

[CDW]

Jep. Die Schreibweisen sind korrekt. Hier sieht man sehr schön die "Altlasten" von Intel
Wenn man sich nämlich eine Opcode Tabelle sucht:
http://ref.x86asm.net/coder32-abc.html
einmal gib es das als

XCHG 	r16/32 	eAX  90+r

(Opcode berechnet sich aus 0x90 + "Register Nummer" == ECX == 1)
und:

XCHG 	r16/32 	r/m16/32 						87 		r

wobei das r ==

r indicates that the ModR/M byte contains a register operand and an r/m

also beide operanden in einem Byte kodieren kann - einmal als
C1 == ECX, EAX
und C8 == EAX, ECX

(wobei die Tabelle imho nicht so schön lesbar ist (ich hatte jetzt aber auf langwierige Suche nicht so die Lust ) )

 

[Inliferty]

Für sowas ist die Intel-Doku ein super Anhaltspunkt

http://www.intel.com/Assets/PDF/manual/253666.pdf (Befehle A-M)
http://www.intel.com/Assets/PDF/manual/253667.pdf (Befehle N-Z)
XCHG -> Seite 540 (2tes PDF)
Den Aufbau einer Instruktion findet man dabei im 1sten PDF auf der Seite 33

Verwende diese Docs gern als Nachschlagewerk, wenn in OllyDbg mal wieder der Disassembler versagt...

MfG
Inliferty