やりたいこと

以前の記事で、WinDBGで.NETアプリのクラッシュダンプを解析したが、そのときにアセンブラを見ないといけなかった。

その際に調べたことをメモしておく。 (まだ経験値が低いので、正確ではない可能性あり)

使用したアセンブラ命令(x64)

push    rbp
→rbpをスタックに積む(rspを更新(+8))
※メソッドを呼んだ頭の部分で、必ずpush rbpをやるっぽい。

sub     rsp,10h
→rspから0x10減算する

lea     rbp,[rsp+10h]
→rbpにrsp+10h番地を入れる

xor     eax,eax
→XORをとる。同じレジスタ同士のXORは毎回0なので、0クリアするときにこれやるっぽい。

mov     dword ptr [rbp-4],eax
→rbp-4番地の値をeaxにする。（C言語の*(rbp-4)=*eax、みたいなものっぽい）

idiv    eax,dword ptr [rbp+20h]
→eaxを[rbp+20h]番地にある値で割って、eaxに入れる

add     eax,2
→eaxに2を足して、eaxに入れる

pop     rbp

マネージドコードの呼び出し規約は _CLRCALL規約 という。 (そのほかの呼び出し規約には_cdeclやstdcallなどがある。→参考)

アセンブラのコードを見たときに、例えば何かのメソッドが呼ばれるときに、

が、呼び出し規約によって変わってくる。

レジスタには、いろんな種類がある。→参考

「R」がつくレジスタは、64bitのレジスタ。

_CLRCALL規約では、メソッドを呼んだときのアセンブラで、

に入る。

[rbp+25h]という書き方は、
rbpの値+25h番地のアドレス、ということを表す。

dword ptr[rbp+25h]という書き方は、
rbp+25h番地にあるdwordの値、ということを表す。

を表す。例えば

MOV m, rax

だったら、右に書かれたrax(RAXレジスタ)から、左に書かれたメモリに、値をコピーする、ということを表す。

RBPはそのメソッドにいる間は同じ。 RSPはメソッド内でpushがされたら積んだ分(+8)更新される。

呼び出し規約の種類

レジスタの説明など(x64)

アセンブラ命令の説明(x64)