Какой байт не может входить в опкод?

Или если такого нет, какой байт самый малоупотребительный

в опкоде для IA-32 Intel?

 

Asterix

Теоретически любой байт может быть непосредственным операндом.

 

Это зависет от опкода.

 

посмотри здесь

http://www.wasm.ru/article.php?article=codech05

и здесь

http://www.wasm.ru/article.php?article=codech06

 

FF FF - такой инструкции точно нет.

Вообще, FF, имхо, самый малоупотребляемый. Однако, верно подметил q_q, в непосредственном операнде (а так же в адресе перехода или в байте r/m) может присутствовать что угодно.

 

В AsProtect'e шифруемый блок выделяется таким вот образом :

#define REG_CRYPT_BEGIN __emit__(0xEB,0x04,0xEB,0x05,0x89,0x01);

#define REG_CRYPT_END __emit__ (0xEB,0x04,0xEB,0x05,0x99,0x01);



в асемблированом виде это набор коротких переходов.

(jmps +4;jmps +5;mov [ecx],eax;....)

(jmps +4;jmps +5;cdq;add [eax],eax;...)



Можешь попробовать подсчитать вероятность появлении такой хрени ...

 

Есть префикс F0 (LOCK, захват шины), в однопроцессорной системе он не нужен.

 

Есть префикс F0 (LOCK, захват шины)...

lock часто встречается например в стандартных делфевых функциях

на кой хрен он там стоит - не знаю, не разбирался.



вообще, на сайте z0mbie была статистика по распределению опкодов

 

Max

Ага, отсюда вывод - упаковать дельфу в коробку и сжечь

 

Для крекеров в смысле реверсинга делфя даже полегче будет, чем другие компилеры, так как в екзешник много добавочной инффы пихает.