X64(64位)汇编指令与机器码转换原理
- 1 64位寻址形式下的ModR/M字节
- 1.1 寻址方式
- 1.2 寄存器编号
- 2 汇编指令转机器码
- 2.1 mov rcx, 1122334455667788h
- 2.2 mov rcx,[r8]与mov [r8],rcx
- 2.3 mov rcx,[r8+r9*2]
本文属于《 X86指令基础系列教程》之一,欢迎查看其它文章。
1 64位寻址形式下的ModR/M字节
x64指令机器码组成:
REX prefix组成:
ModR/M组成:
1.1 寻址方式
ModR/M字节具体值,组成情况,如下图所示:
ModRM.mod、ModRM.r/m和REX.B三者确定一种内存寻址方式,一共有64种内存寻址方式。
1.2 寄存器编号
ModRM.reg与REX.R位,合并扩展为4位Rrrr,表示X64架构下这16个寄存器编号,具体编号如下:
| r8(/r) r16(/r) r32(/r) r64(/r) mm(/r) | AL AX EAX RAX MM0 | CL CX ECX RCX MM1 | DL DX EDX RDX MM2 | BL BX EBX RBX MM3 | AH SP ESP RSP MM4 | CH BP EBP RBP MM5 | DH SI ESI RSI MM6 | BH DI EDI RDI MM7 | r8b r8w r8d r8 | r9b r9w r9d r9 | r10b r10w r10d r10 | r11b r11w r11d r11 | r12b r12w r12d r12 | r13b r13w r13d r13 | r14b r14w r14d r14 | r15b r15w r15d r15 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Rrrr | 0000 | 0001 | 0010 | 0011 | 0100 | 0101 | 0110 | 0111 | 1000 | 1001 | 1010 | 1011 | 1100 | 1101 | 1110 | 1111 |
2 汇编指令转机器码
我们举几个立即数操作的例子:
mov cl, 12h
mov cx, 1234h
mov ecx, 12345678h
mov rcx, 1122334455667788h
然后,把表格中每一类寻址方式,都举一个例子,进行描述,如下:
| 序号 | 寻址方式 | Mod | R/M | REX.B | 汇编例子 | 含义 |
|---|---|---|---|---|---|---|
| 1 | [r8] | 00 | 000 | 1 | mov rcx,[r8]与mov [r8],rcx | (rcx)=((r8))与((r8))=(rcx) |
| 2 | [SIB] | 00 | 100 | 任意 | mov rcx,[r8+r9*2] | (rcx)=((r8)+(r9)*2) |
| 3 | [disp32] / [rip+disp32] | 00 | 101 | 任意 | mov rcx,[00001000h] | (rcx)=(00001000h) / (rcx)=((rip)+00001000h) |
| 4 | [r8+disp8] | 01 | 000 | 1 | mov rcx,[r8+10h] | (rcx)=((r8)+10h) |
| 5 | [SIB+disp8] | 01 | 100 | 任意 | mov rcx,[r8+r9*2+10h] | (rcx)=((r8)+(r9)*2+10h) |
| 6 | [r8+disp32] | 10 | 000 | 1 | mov rcx,[r8+00001000h] | (rcx)=((r8)+00001000h) |
| 7 | [SIB+disp32] | 10 | 100 | 任意 | mov rcx,[r8+r9*2+00001000h] | (rcx)=((r8)+(r9)*2+00001000h) |
| 8 | r8 | 11 | 000 | 1 | mov r9,r8 | (r9)=(r8) |
| 9 | r9 | 11 | 001 | 1 | mov r8,r9 | (r8)=(r9) |
因此,一共有13个汇编指令转机器码的例子,接下来,依次来讲解。
2.1 mov rcx, 1122334455667788h
- mov cl, 12h
mov cl, 12h表示将立即数12h存储到8位寄存器cl中。
查询指令手册,与MOV r8,imm8指令相符,其操作码为B0+ rb,rb表示目的操作数cl寄存器编号。
当前指令cl编号为1,因此操作码为B0+1=B1。
因此指令的机器码组成,如下所示:
| 汇编指令 | 操作码 | 立即数 | 机器码 |
|---|---|---|---|
| mov cl, 12h | B1 | 12 | B112 |
- mov cx, 1234h
mov cx, 1234h表示将立即数1234h存储到16位寄存器cx中。
查询指令手册,与MOV r16,imm16指令相符,其操作码为B8+ rw,rw表示目的操作数cx寄存器编号。
当前指令cx编号为1,因此操作码为B8+1=B9。
由于在X64下,默认操作数宽度是32位,需要添加指令前缀66H,“反转”选择16位宽度的操作数。
因此指令的机器码组成,如下所示:
| 汇编指令 | 指令前缀 | 操作码 | 立即数 | 机器码 |
|---|---|---|---|---|
| mov cx, 1234h | 66 | B9 | 1234 | 66B93412 |
- mov ecx, 12345678h
mov ecx, 12345678h表示将立即数12345678h存储到32位寄存器ecx中。
查询指令手册,与MOV r32,imm32指令相符,其操作码为B8+ rd,rd表示目的操作数ecx寄存器编号。
当前指令ecx编号为1,因此操作码为B8+1=B9。
由于在X64下,默认操作数宽度是32位,刚好合适,因此不需添加指令前缀66H。
因此指令的机器码组成,如下所示:
| 汇编指令 | 操作码 | 立即数 | 机器码 |
|---|---|---|---|
| mov ecx, 12345678h | B9 | 12345678 | B978563412 |
- mov rcx, 1122334455667788h
mov rcx, 1122334455667788h表示将立即数1122334455667788h存储到64位寄存器rcx中。
查询指令手册,与MOV r64,imm64指令相符,其操作码为REX.W + B8+ rd,rd表示目的操作数rcx寄存器编号。
当前指令rcx编号为1,因此操作码为B8+1=B9。
REX.W说明需要REX前缀,REX.W=1表示操作位宽为64位,因此REX=48h。
因此指令的机器码组成,如下所示:
| 汇编指令 | REX前缀 | 操作码 | 立即数 | 机器码 |
|---|---|---|---|---|
| mov rcx, 1122334455667788h | 48 | B9 | 1122334455667788h | 48 B9 88 77 66 55 44 33 22 11 |
2.2 mov rcx,[r8]与mov [r8],rcx
- mov rcx,[r8]
mov rcx,[r8]表示将r8寄存器中地址指向的内存单元,存储到rcx中。
查询指令手册,与MOV r64,r/m64指令相符,其操作码为REX.W + 8B /r,/r表示这条指令具有ModR/M字段。
因此,尝试推导ModR/M值。当前指令寻址方式属于《X64指令基本格式》中“第一种,无SIB字节的内存寻址”,ModRM.mod、ModRM.r/m、REX.B三者确定一种内存寻址方式,如下图:
第一步,在源和目的操作数中,以内存寻址操作数为坐标点,反推ModRM.mod、ModRM.r/m、REX.B。
这里内存寻址操作数为[r8],故ModRM.mod=00,ModRM.r/m=000,REX.B=1。
第二步,在源和目的操作数中,以寄存器操作数,反推ModRM.reg与REX.R。
这里寄存器操作数为rcx,其寄存器编号Rrrr=0001,故REX.R=0,ModRM.reg=001。
REX.W说明需要REX前缀,REX格式为0100WRXB,W表示操作数宽度,W=1表示64位,X位默认为0,因此REX=01001001=49h。ModRM=00001000=08h。
因此指令的机器码组成,如下所示:
| 汇编指令 | REX前缀 | 操作码 | ModRM | 机器码 |
|---|---|---|---|---|
| mov rcx,[r8] | 49 | 8B | 08 | 498B08 |
- mov [r8],rcx
mov [r8],rcx表示将rcx寄存器内容,存储到r8寄存器中地址指向的内存单元中。
查询指令手册,与MOV r/m64,r64指令相符,其操作码为REX.W + 89 /r,/r表示这条指令具有ModR/M字段。
因此,尝试推导ModR/M值。当前指令寻址方式属于《X64指令基本格式》中“第一种,无SIB字节的内存寻址”,ModRM.mod、ModRM.r/m、REX.B三者确定一种内存寻址方式,如下图:
第一步,在源和目的操作数中,以内存寻址操作数为坐标点,反推ModRM.mod、ModRM.r/m、REX.B。
这里内存寻址操作数为[r8],故ModRM.mod=00,ModRM.r/m=000,REX.B=1。
第二步,在源和目的操作数中,以寄存器操作数,反推ModRM.reg与REX.R。
这里寄存器操作数为rcx,其寄存器编号Rrrr=0001,故REX.R=0,ModRM.reg=001。
REX.W说明需要REX前缀,REX格式为0100WRXB,W表示操作数宽度,W=1表示64位,X位默认为0,因此REX=01001001=49h。ModRM=00001000=08h。
因此指令的机器码组成,如下所示:
| 汇编指令 | REX前缀 | 操作码 | ModRM | 机器码 |
|---|---|---|---|---|
| mov [r8],rcx | 49 | 89 | 08 | 498908 |
发现没有,源操作数与目的操作数,交换传输方向后,仅操作码发生变化。也就是说,寄存器与内存之间传递数据的方向,是靠操作码来分辨的,与REX前缀、ModRM无关。
2.3 mov rcx,[r8+r9*2]
mov rcx,[r8+r9*2]表示将r8寄存器中地址+r9寄存器中地址*2,指向的内存单元,存储到rcx中。
查询指令手册,与MOV r64,r/m64指令相符,其操作码为REX.W + 8B /r,/r表示这条指令具有ModR/M字段。
因此,尝试推导ModR/M值。当前指令寻址方式属于《X64指令基本格式》中“第三种,带SIB字节的内存寻址”,如下图所示:
由于此场景下REX.B与SIB.base合并,不再与ModRM.r/m合并。
因此ModRM.mod、ModRM.r/m两者就可以确定[SIB]内存寻址方式,如下图:
第一步,以内存寻址操作数为坐标点,反推ModRM.mod、ModRM.r/m。
这里内存寻址操作数为[r8+r9 * 2],故ModRM.mod=00,ModRM.r/m=100。
第二步,以寄存器操作数,反推ModRM.reg与REX.R。
这里寄存器操作数为rcx,其寄存器编号Rrrr=0001,故REX.R=0,ModRM.reg=001。
第三步,。。。。。。
REX.W说明需要REX前缀,REX格式为0100WRXB,W表示操作数宽度,W=1表示64位,X位默认为0,因此REX=01001001=49h。ModRM=00001000=08h。
因此指令的机器码组成,如下所示:
| 汇编指令 | REX前缀 | 操作码 | ModRM | 机器码 |
|---|---|---|---|---|
| mov [r8],rcx | 49 | 89 | 08 | 4B 8B 0C 48 |
发现没有,源操作数与目的操作数,交换传输方向后,仅操作码发生变化。也就是说,寄存器与内存之间传递数据的方向,是靠操作码来分辨的,与REX前缀、ModRM无关
。
未完待续。。。。
