ОПЕРАНДЫ #definition

Элементы могут содержать один и более операндов, включающих в себя непосредственные значения. Одно и то же непосредственное значение может являться и константой, и смещением в сегменте, и базовым адресом сегмента. Константа в свою очередь может отображаться в двоичной, восьмеричной, десятичной и шестнадцатеричной системе исчисления или символьной ASCII-строки.

Тип и представление каждого операнда определяется значением соответствующих битов флагов (см. таблицу 14). Две группы битов определяют представление первого и второго операнда; если же элемент содержит более двух операндов, третий и все последующие операнды имеют тот же самый тип и представление, что и второй операнд.

Если ни один бит атрибутов операнда не установен, операнд не имеет никакого типа, (т.е. имеет тип "void") и отображается в системе исчисления принятой по умолчанию. В зависимости от настоек IDA Pro бестиповые операнды могут отображаться другим цветом (по умолчанию красным).

Определить имеет ли некий элемент кода непосредственный операнд или нет можно анализом бита FF IMMD флагов. Если он установлен - элемент кода имеет непосредственный операнд, и, соответственно, наоборот. Значение бита FF IMMD не зависит от типа непосредственного операнда - чем бы он ни был: смещением, константой, базовым адресом сегмента или имел тип void, - флаг FF IMMD указывает на сам факт наличия (отсутствия) непосредственного операнда, но никак не связан с его типом.

В полностью дизассемблированной программе не должно быть ни одного операнда с типом void, - типы всех операндов должны заданы явно в соответствии с их назначением, которое можно узнать путем анализа программы.

В некоторых случаях IDA Pro позволяет автоматически отличить смещения от констант:

a) используя информацию о перемещаемых элементах (fixup info) IDA Pro может автоматически преобразовать бестиповые операнды в базовые адреса сегментов и смещения

b) в 32-разрядном сегменте, инструкция, имеющая непосредственный операнд, содержащий значение 0x10000 и выше, автоматически преобразуется в смещение, если это разрешено настойками

c) то же, что и в пункте b но для данных

d) непосредственный операнд инструкции push, следующей за инструкцией, заносящий в стек базовый адрес сегмента, автоматически преобразуется в смещение, если это разрешено настройками

e) непосредственный операнд, копируемый инструкций MOV в один из регистров общего назначения, автоматически преобразуется в смещение, если он предшествует инструкции MOV, заносящий в один из сегментных регистров базовый адрес сегмента

f) непосредственный операнд, копируемый инструкций MOV в ячейку памяти независимо от способа ее адресации, автоматически преобразуется в смещение, если он предшествует инструкции MOV, заносящий в ячейку памяти базовый адрес сегмента.

Авто-анализатор IDA Pro непрерывно совершенствуется, и новые версии становятся способными автоматически распознать смещения все в большем и большем числе случаев, - однако, вместе с этим увеличивается и процент ложных срабатываний, поэтому, окончательная доводка дизассемблируемого листинга ложится на плечи пользователя.

Таблица 13 возможные представления непосредственных операндов элементов типа данные и код

Сводная таблица функций

success OpBinary(long ea,int n)

Функция отображает операнд (операнды) в двоичном виде, добавляя в его конце суффикс b.

Пример использования:

seg000:0000

a) исходные данные

ax,41h

OpBinary(SegByName("seg0 0 0"),1);

b) вызов функцию OpBinary для преобразования второго слева операнда в двоичный вид.

seg000:0000 mov ax, 1000001b

c) результат - второй слева операнд преобразован в двоичный вид

??? #верстальщику - change table