JMP FAR 的用法不明确

Question

在《Rootkits: Subverting the Windows Kernel》一书第 5 章：运行时修补第 120-125 页（Greg Hoglund，‎James Butler，2006）中，

他说 JMP FAR 0x08:0xAAAAAAAA 将跳转到 0xAAAAAAAA

但是，Wiki 说 0x08:0xAAAAAAAA = (0x08 * 0x10) + 0xAAAAAAAA

这是真的。

Answer 1

在保护模式下，选择器值（示例中地址的段部分）不使用“移位 4”计算。相反，该值用作本地或全局描述符表的索引，并使用表中的基地址。

链接的代码似乎是为 Windows 编写的。 Windows 使用简单的平面内存模型，其中大多数选择器以 0 为基数映射整个 4BG 地址空间。这就是为什么选择器 8 将映射到 0，并且跳转将（尝试）转到地址 0xAAAAAAAA。

我不确定使用远跳的意义是什么，我认为正常的跳跃（无需重新加载选择器）也可以。