汇编堆栈索引地址

Question

我正在尝试使用 ollydbg 调试程序，但我对使用 SS 前缀索引模式地址有疑问。

截图如下：

此时，指令

MOV BYTE PTR SS:[EBP-1],BL

会将 8 位从 EBX 移至EBP(0012FDCC) 中指向的地址减去一 - 0012FDCB。

如果以上不正确，请告诉我。

在ollydbg程序中，右下角有一个堆栈的表示，其中第一列指向地址。为什么没有 0012FDCB 的条目以及 0012FDCB 指向的位置？

Answer 1

我对ollydbg一无所知；希望熟悉的人也能发表答案。

您对向我们展示的指令将执行的操作的理解基本上是正确的：它将把 BL 的内容（即 EBX 的低 8 位）移动到指向的堆栈段中的地址通过 [EBP 减 1]。如果EBP为0012FDCCh，则该字节将存储在0012FDCBh。

我们通常不会说 0012FDCBh 指向任何地方，我们只是说它是一个内存位置，在这种情况下包含一个字节，尽管从技术上来说，说它是一个内存位置的地址会更正确，因此从某种意义上说，数字“指向”一个字节。但我们更愿意认为是指向内存的指针或寄存器，而不是纯数字。

我不知道为什么 ollydbg 不显示 0012FDCBh。你确定它没有显示吗？是否可能显示 0012FDCCh 和 0012FDC8h？如果是这样，那么它只是显示以 DWORD 分组的堆栈内存，因此不会显示 0012FDCBh，因为它对应于位于 0012FDC8h 的 DWORD 内的四个字节之一。查看存储在 0012FDC8h 中的 DWORD 值，单步执行 MOV 指令，您应该看到该字的最高有效字节更改为 BL 的值。 （如果该地址中的值与 BL 的值不同。）Ollydbg 也可能显示按行分组的内存，长度超过一个 DWORD，但同样的原则也适用。