1. Legacy prefix

1.1 legacy prefix 的作用

legacy prefix 主要有以下作用：

• 調整記憶體運算元的屬性
• 增強指令的功能
• 提供額外的作用

1.2 legacy prefix 分類

(1) operand size override prefix：66H --- 改變運算元大小

(2) address size override preifx：67H --- 改變運算元地址模式

(3) segment override prefix：改變 memory 運算元段選擇子，包括：

• 2E --- CS register
• 3E --- DS register
• 26 --- ES register
• 64 --- FS register
• 65 --- GS register
• 36 --- SS register

(4) rep/repz prefix：F3H --- 串指字重複執行

(5) repnz prefix：F2H --- 串指字重複執行

(6) lock prefix： F0H --- LOCK

1.3 REX prefix 的作用

★ 改變指令運算元的 default operand size（可以使用 64 位 operands），同樣是起 operand size override 的作用

★ 訪問 x64 體系所有 16 個 registers：rax ~ r15，xmm0 ~ xmm15

2. 指令系統的上下文環境

要徹底瞭解 prefix，必須要結合 3 個很重要的上下文環境：

1. 指令本身的 default operand-size 和 default address-size 以及 effective operand size 和 effective address size
2. assembler 編譯器上文環境
3. 當前 processor 的執行上下文環境。

x86/x64 指令編碼會根據上面提到的 3 個上下文環境而對運算元的位置、大小以及地址進行調整改變。

這裡運算元是記憶體運算元。出現調整的情形，這是因為：

• effective operands-size 可以為：16
  位、32 位以及 64 位
• operands 的地址位置因段選擇子的不同而不同（cs、ds、es、ss、fs 以及 gs）。
• effective address-size 可以為：16 位、32 位以及 64 位

也就是說：指令編碼因指令運算元的 operand size, address size 以及 segment 的不同而不同

3. 預設和有效（default 與 effective）上下文環境

在 x86/x64 平臺的指令系統裡有兩個很重要的概念：

★ 預設（default）概念

包括：預設運算元大小以及預設地址大小（default operand-size 與 default address-size）。

• 在 32 位下：default operands-size 和 default address-size 都是 32 位。
• 在 16 位下：default operands-size 和 default address-size 都是 16 位。

在 64 位下 default operands-size 是 32 位，是基於 x86 平滑擴充套件為 x64 的設計理念。

★ 有效（effective）概念

包括：有效的運算元大小以及有效地址大小（effective operand-size 與 effective address-size）

• 在 32 位下：effective operand size 與 effective address-size 可以為：16 位和 32 位
• 在 16 位下：effective operand size 與 effective address-size 可以為：16 位和 32 位。
• 在 64 位下：effective operand size 可以為：16 位、32 位和 64 位。　　
• 在 64 位下：effective address-size 可以為：32 位與 64 位。

在 64 位模式下，情況又有些特殊：在 64 位下支援 16 位，32 位以及 64 位的運算元大小。但是不支援 16 位的地址大小。

4. 調整運算元的大小（66H prefix - Operand Size Override）

4.1 Operand Size Override 行為

基於這種需求，在指令編碼中使用 66H prefix 來實現 operand size override

4.2 66H prefix（Operand-Size Override prefix）

66H 位元組這個 prefix 用來更改 operands size，當然只能在指令所支援的 effective operand-size 範圍內進行調整。

66H 在 Opcode 表中就是一個 prefix，它不是 Opcode

4.3 Operand Size Override 的規則

怎樣進行 Override 以及 Override 什麼？ 都是有固定的規則的，這和 default operand size 以及 effective operand size 有緊密的關係

表 4.3.1

每一種模式下都分為 2 種 default operand size 情形，除了 64 位模式下 default operand size 是 32 時，有 3 種 effective operand size 外，其它都是 2 種 effective operand size

表中：--- 表示無需 prefix，REX.W = 1 表示：調整到 64 位（REX.W = 0 它是使用 default operand size）

* 標註處的 default operand size ＝ 64 只有少數的指令 default operand size 是 64 位，大部分指令的 default 是 32 位的。

1. 在 16 位模式下
   • 當 default operand size 是 16 位時：需要調整為 32 位，需要加 66H prefix
   • 當 default operand size 是 32 位時：需要調整為 16 位，需要加 66H prefix
2. 在 32 位模式下
   • 當 default operand size 是 16 位時：需要調整為 32 位，需要加 66H prefix
   • 當 default operand size 是 32 位時：需要調整為 16 位，需要加 66H prefix
3. 在 64 位模式下
   
   • 當 default operand size 是 32 位時：需要調整為 16 位時，需要加 66H prefix。需要調整到 64 位時，需要加 REX prefix
   • 當 default operand size 是 64 位時： 不能調整到 32 位，調整到 16 位時，需要 66H prefix

在 64 位的 default operand size 下，effective 只有 2 種：16 位和 64 位。因此：只能使用 66H prefix 調整到 16 位，不能調整到 32 位

4.4 為什麼需要改變運算元大小？

原因很簡單：16 位程式碼下需要訪問 32 位資料或者 32 位程式碼需要訪問 16 位資料。

4.5　看看幾個例子

例 1：　在 16 位的 default operand size 下，指令： mov eax, ebx

由於在 16 位下，如果運算元的大小預設是 16 位的，這條指令要訪問 32 位的暫存器，那麼需要使用 66H prefix 進行 operand size override

89 d8 ---> 66 89 d8　　　（使用 66H prefix 將 16 位 registers 改為 32 位 registers）

例 2：　在 32 位 default operand size 下，指令 mov ax, bx

由於在 32 位下，如果運算元的大小預設是 32 位的，這條指令要訪問 16 位暫存器，同樣需要使用 66H prefix 進行調

89 d8 ---> 66 89 d8　　　（使用 66H prefix 將 32 位 registers 改為 16 位 registers）

表 4.5.1 (在 16 位和 32 位模式下適用）

上表是這 2 條指令分別在不同的 default operand size 下的指令編碼情況

有些人或許會感到疑惑，為什麼例 1 與例 2 編譯器生成的結果是一樣的。這就是 assembler 在不同的 編譯上下文環境 譯為相同的指令編碼。

例3：在 32 位 default operand size 下，指令：mov ax, [11223344h]

在 Microsoft 的語法裡，在記憶體運算元前一般要加指示字 word ptr，指明運算元的大小：mov ax, word ptr [11223344h] 實際上，在這條指令裡，這個指示字不是必須的，加指示字只是比較直觀。但有些情況是必須要加的，如：mov dword ptr [11223344h], 1

這條指令有兩種譯法：

• 66 a1 44 33 22 11
• 66 8b 05 44 33 22 11

使用 66H prefix 進行 operand size override

第 1 條 encode 中，a1 是 opcode，44332211 是 immediate（而不是 dispalcement，因為不是 ModRM 定址提供的）, 66 改變了預設的運算元大小，將 32 位調整為 16 位。

第 2 條 encode 的 opcode 是 8b, ModRm 是 05, 而 44332211 是 dispalcement 而不是 immediate（需要 ModRM 定址）。

例4： 在 16 位 default operand size 下，同樣一條指令：mov eax, [11223344]

同樣一樣指令，但目的運算元大小不同，並且 assembler 編譯上下文環境不同。

它兩種譯法為：

• 66 67 a1 44 33 22 11
• 66 67 8b 05 44 33 22 11

與例 3 所不同的是：這條指令增加了 67H prefix 來進行 address size override

表 4.5.2

這裡必須有一點要認識到的：當在 16 模式下， 地址 [11223344h] 多數編譯器會它截斷只取低 16 位地址

那麼：mov ax, [11223344h] 會被編譯為 66 a1 44 33 （它不需 67H prefix 進行 address size override）

5. 編譯上下文環境（assembler）

在一個組合語言原始檔裡，需要給編譯器一些編譯指示：指示目的碼將生成是多少的？目標平臺是什麼？檔案格式是什麼？等等...

這個就編譯上下文環境。

例如：
作業系統的引導初始化程式碼部分是 16 位的，現在絕大多數 OS 是 32 位的，因此，在當前系統下寫引導程式碼，則需要求編譯器編譯為 16 位真實模式程式碼。因此，你不得不寫 16 位程式碼，編譯器根據情況將 32 位操作和地址調整至 16 運算元和地址。但在大部分情況下，不需要作調整，直接生成 16 位程式碼即可。

5.1　生成多少位的機器指令

以 nasm 編譯器為例，下面給出一些程式碼片斷：

上面程式碼片斷顯示：在一個原始檔中，使用 bits 16 指示 nasm 生成 16 位的程式碼，並且使用 bits 32 指示 nasm 生成 32 位程式碼。 還可以使用 bits 64 來生成 64 位程式碼。

5.2　在原始碼中指定位模式

上面程式碼片斷中，使用 bits 偽指令來指示 nasm 生成何種程式碼。

這樣的結果是：

如下例子：

程式碼中使用 bits 16 指示生成 16 位程式碼，它實際上是要 nasm 假設下面的指令將要執行在 16 位模式下。

這和表 4.5.1 和 表 4.5.2 所列的編碼是一致的。 使用到了 66H prefix 和 67H prefix 進行 override

對於 16 位和 32 位模式來說，這個指令的位模在式相當於指出 default opernad size 是多少。但是對 64 位模式來說，並不代表 nasm 將假設指令的 default operand size 是 64 位。

6. processor 當前執行上下文環境

processor 處於什麼模式下，這是系統程式設計師需要考慮的問題，從而通過程式碼體現出來，編譯器根據程式碼生成相應的程式碼。

上表顯示，同一條機器指令，當 processor 執行在不同的模式下，指令的解碼是不同的。但是隻不同在於 operand size

7. 調整地址大小（67H prefix - Address Size Override）

當需要改變地址大小的時候，也需要使用 67H prefix 來進行調整。同樣是在所支援的 effective address-size 範圍內。

7.1 Address Size Override 行為

7.2 67H prefix（address size override prefix）

指令中可以 67H 進行 address size override，同樣 67H 不是 opcode，processor 的解碼邏輯遇到它會把它當作 prefix

7.2 Address size override 規則

怎樣進行 Override 以及 Override 什麼？ 都是有固定的規則的，這和 default address size 以及 effective address size 有緊密的關係

表 7.2.1

與 Operand size override 規則一樣，在 effective address size 範圍裡調整為另一個 address size 需要使用 67H prefix

在 64 位模式下 default address size 是 64 位，不能調整到 16 位地址。

7.3 為什麼要調整地址大小

以 16 位模式為例，如果需要訪問 64K 以上的地址，需要什麼 32 位的定址模式。

那麼需要使用 67H prefix 將 16 位定址模式調整到 32 位定址模式。

7.4 Address size override 的幾個例子

例1：在 16 位下，以序言裡的指令為例：mov dword ptr [eax+ecx*8+0x11223344], 0x12345678

由於在 16 位的 default operands size 和 default address size 下，但該指令使用 32 位 operand size 以及 32 位 address size

也就是說既要調整 operand size 也要調整 address size。所以，應加上 66H prefix 調整 operand-size，再加上 67H prefix 調整 address-size。

最終的 encode 為： 66 67 c7 84 c8 44 33 22 11 78 56 34 12

例2：在 32 位模式下，指令：mov eax, dword ptr [11223344]

該指令的編碼為： a1 44 33 22 11

對這個編碼，我們手工進行調整，加上 67H prefix： 67 a1 44 33 22 11

那麼此時，用 67H prefix 調整為 16 位地址，那麼在彙編語句將變為： mov eax, dword ptr [3344]

結果是：　加了 67H prefix 之後，它的地址將被截斷為 16 位。即地址：0x3344，多出 22 11 兩個位元組屬下條指令邊界了。

例3：在 32 位下，指令：mov eax, dword ptr [bx + si + 0x0c]

很顯然，這條彙編語句源運算元的地址是 16 位的。

在當前的 32 位編譯環境下，應使用 67H prefix 將這個 16 位地址調整 32 位地址。

最終的 encodes 是： 67 8b 40 0c

40H 這個 ModRM 定址的地址方式是： [bx + si + 0x0c] （16 位）,當使用 67H prefix 調整為 32 位地址時是：[eax + 0x0c]

若這條指令的 encode 放在 16 位下執行，彙編形式變為： mov eax, dword ptr [eax + 0x0c]（16 位下，67H prefix 調整的結果）

7.5 16 位定址模式與 32 位定址模式的區別

上面的 3 個例子顯示了 16 位地址和 32 位地址的區別，主要來自 16 位的記憶體運算元定址只支援 BX 與 BP 暫存器作為基址暫存器，SI 和 DI 暫存器作為變址暫存器，比 32 位的記憶體定址少得多。

表7.5.1 assembler 在 32 位下和 16 位下的區別（assembler 編譯上下文環境）

表1中顯示的是在不同的編譯上下文環境，同一條指令產生的不同編碼（例如，在 nasm 編譯器使用 bits 16 和 bits 32 指示字）

注意：

　　在第 2 條時，地址 [0x11223344] 在 16 位程式碼的編譯環境中，不同的編譯器會有不同的處理結果：

　　★　大多數 assembler（編譯器）會將 [0x11223344] 截斷為 [0x3344]。

　　★　但是，一個功能強大的，全面的 assembler 應該將 [0x11223344] 還原為 [0x11223344]，產生的編碼應是： 66 67 a1 44 33 22 11

　　有關 16 位定址模式和 32 位定址模式，詳細請參看 AMD 與 Intel 手冊

7.6 67H prefix 的深層含義

67H prefix（address-size override）指示 processor 對記憶體運算元定址模式上的轉變：

★ 當執行在 16 位程式碼時，將要使用 32 位地址（default address-size 是 16 位）。因此，記憶體定址要用 32 位定址模式。

★ 當執行在 32 位程式碼時，將要使用 16 位地址（default address-size 是 32 位）。因此，記憶體定址要用 16 位定址模式。

表2：processor 在 16 位下與 32 位下解析區別 (processor 執行上下文環境）

表2中顯示在不同的執行上下文環境，同一條機器指令編碼產生的不同行為。

注意：

　　★　第1條中，機器碼：c7 84 c8 44 33 22 11 78 56 34 12 當 processor 在 16 位下，只解析前面的 c7 84 c8 44 33 22

　　　　剩下的 11 78 56 34 12 將被視為下一條指令。

　　★　第2條中，機器碼：66 67 c7 84 c8 44 33 22 11 78 56 34 12 當 processor 在 32 位下，只解析前面的 66 67 c7 84 c8 44 33 22

　　　　剩下的 11 78 56 34 12 將被視為下一條指令。

7.7 67H prefix 總結

　　在彙編程式碼層面上，assembler 根據當前編譯環境，將彙編語句生成相應的 encodes　決定是否使用 67H prefix

　　在機器程式碼層面上，processor 根據當前執行環境來決定如何解析機器指令

8. 調整段選擇子（Segment override）

對於大多數記憶體操資料來說，預設以 DS 為段基址的。常見的是：DS 段基址，SS 段基址。

與 operand-size / address-size 一樣，當需要調整預設的 segment 時，需要使用相應的 segment override prefix

8.1 預設 segment register

與 default opernads-size、default address-size 一樣，segment registers 同樣有 default segment register

8.1.1 基址暫存器（base register）

default segment register 與記憶體運算元中的 base register 相關。

例如：mov eax, dword ptr [eax] 指令中的 [eax] 運算元 eax 就是 base register

預設暫存器規則：

• 基址暫存器為 ebp 的，預設的段暫存器（default segment register）是：SS
• 基址暫存器為 esp 的，預設的段暫存器（default segment register）是：SS
• 在串處理指令中（如：movsb,scanb,cmpb 等），源串預設段暫存器為 DS, 目標串預設段暫存器為 ES
• 無基址暫存器的運算元中，預設段寄存寄均為 DS （如：mov eax, [0x11223344]，源運算元就是無基址暫存器）
• 所有程式碼段的預設段暫存器都是 CS
• 除上面幾種情況下，所有記憶體運算元的預設段暫存器都是 DS

8.2 Segment override 例子

[ebp-0xc]：這個記憶體運算元預設是基於 SS 段的

[eax]：這個記憶體運算元預設是基於 DS 段的。

因此，對於上面的片段，[ebp - 0x0c] 是在 SS segment，即 stack 內。

[eax] 這個記憶體地址按照程式的意圖是訪問 stack 內的資料，所以，這裡我將它調整為 stack segment

lea eax, [ebp - 0x0c]
mov eax, dword ptr ss:[eax]（調整為訪問 stack）

為什麼一般程式都不會這麼寫呢？ 那是因為，現代的作業系統都是採用平坦的記憶體模式，即：CS=SS=DS=ES，所以對 [eax] 這個運算元不需調整其結果是正確的。

8.2.1 [eax] 記憶體運算元進行調整為：mov eax, dword ptr ss:[eax]

產生的編碼是： 36 8b 00

其中，36 也就是 SS segment-override prefix，將 DS 段調整為 SS 段。

8.3 Segment override prefix

• CS segment：2E
• DS segment：3E
• ES segment：26
• FS segment：64
• GS segment：65
• SS segment：36

當需要進行調整段暫存器時，就使用以上的 segment-override prefix。

9. 通過 prefix 增強指令功能（F3 prefix 與 F2 prefix）

這些 prefix 對 Opcode 進行補充，增強指令的功能，優化指令執行。起重複執行指令的功能

• F3： rep/repz prefix
• F2： repnz prefix

看下面這段 c 程式碼：

這是典型的、經典的字串複製c程式碼，對應以下類似的彙編程式碼：

最初版本：

move_char:
  push ebp
  mov ebp, esp
  sub esp, 0x0c
  mov eax, [ebp+8]
  mov edi, eax
  mov esi, [ebp+0x0c]
  mov ecx, dword ptr [ebp+0x10]

move_loop:
  mov bl, byte ptr [esi]
  mov byte ptr [edi], bl
  inc esi
  inc edi
  dec ecx
  jnz move_loop
　　　　
  mov esp, ebp
  pop ebp
  ret

----------------------------------------------------------------
上面的程式碼效能低下，是很死板的實現，優化的空間巨大。

x86 為串提供了相應的串操作指令（ins,outs,lods,stos,scas,cmps），對這些串指令提供 prefix 來增強優化這些指令。

9.1 rep prefix 或者 repz prefix（F3H prefix）

　　可以看到 F3H prefix 有兩重意義：rep 和 repz，但是使用的範圍是不同的：

它們的使用範圍和結束條件都不同。

9.1.1 rep 的意義

rep 重複執行指令一定的次數，這個次數在 ecx 中提供。

用虛擬碼描述為：

首先判斷 ecx 是否為 0，不為 0 則執行指令。

使用 rep 優化版本：

使用串指令 movsb 配合 rep prefix 進行復制，rep movsb 的編碼為：

• f3 a4

9.1.2 repz/repe 的意義

F3 prefix 另一層意義是 repe/repz，用於改變標誌位的串操作：scas, cmps　指令

意思是：當比較結果相等（ZF=1）並且迴圈次數（ecx）不為 0 時進行重複操作。（重複的條件是：ZF = 1 & ecx <> 0）

即：它的結束條件是：ecx = 0 或者 ZF = 0， 意思是：不相等時或者次數到了，就不重複執行指令

它的 c 偽碼形式如下：

常見運用一些跳過字元的邏輯上，如下面 C 程式碼，用於截除串前面空格：

rep 與 repe/repz 是相同的 prefix，作用於不同的串指操作意義也不同：

• f3 a4 --- 這時它是 rep
• f3 ae --- 這時它是 repz/repe

當作用於不修改標誌位的串指令時，它的意義是 rep，作用於修改標誌位的串指令時，它的意義是 repz/repe

9.2 repne/repnz（F2H prefix）

F2H prefix 是表達 repne/repnz　意思是： 結果不相等（不為零）時迴圈。（重複條件是 ZF == 0 並且 ecx <> 0）

結束條件是：ecx ＝ 0 或者 ZF = 1　即：結果相等時退出迴圈。

同樣也是用於改變標誌位的串操作 scas 和 cmps

它的 c 偽碼形式如下：

常見一些查詢字元的邏輯上，如下面 C 程式碼：

10 附加功能（LOCK prefix）

　　對於寫記憶體的一些指令增加了鎖地址匯流排的功能，這些寫記憶體的指令如常見的 sub，add 等指令，通過 Lock prefix 來實現這功能，使用 Lock prefix 將會使 procesor 產生 LOCK# 訊號鎖地址匯流排

注意：
　　　Lock prefix 僅使用在一些對記憶體進行 read-modify-write 操作的指令上，如：add, sub, and 等指令。　否則，將會產生 #UD (無效操作碼) 異常

如下指令所示：

它的指令編碼是：

• f0 81 00 01 00 00 00

F0：　Lock prefix 鎖地址匯流排。