本文共 653 字，大约阅读时间需要 2 分钟。

push ebp
jmp addr1
db 0xE8
addr1：
mov abp，esp
sub esp，0x100
根据线性扫描反汇编算法，当反汇编器解析完jmp addr1指令后，会接着从下一个0xE8开始进行解析，而0xE8为call指令的起始字节，就会导致反汇编器认为从0xE8开始的5个字节为一条call 指令，从而让后续的指令全部被错误解析

而对于以IDA Pro为代表的递归下降反汇编器，由于递归下降反汇编算法在遇到无条件跳转时，会转向跳转的目标地址递归地继续解析指令，就会导致插入的0xE8字节直接被跳过。然而，递归下降反汇编器尽管部分地模拟了程序执行的控制流过程，但它并不是真正运行，所以不能获取到所有的信息
例如：
push ebp
jz addr1
jnz addr1
db 0xE8
addr1：
mov abp，esp
sub esp，0x100
即将一条无条件跳转语句改为两条成功条件相反的条件跳转语句。由于递归下降反汇编算法不能获取到程序运行中的上下文信息，遇到条件跳转语句时，它会递归地将跳转的分支与不跳转的分支都进行反汇编。显然，在反汇编完jnz后，它不跳转的分支就是下一地址，从而使0xE8开头的“指令”被解析
实际操作时，往往打乱顺序，即“乱序”，从而达到类似控制流混淆的效果，例如：
push ebp
jz addr1
jnz addr1
db 0xE8
addr3：
sub esp，0x100
…………
addr2：
mov abp，esp
jmp addr3