早就想学了，正好学校选修了这门课，跟着老师的进度记录一下

体系结构

x86 与 x64

x86（focus：IA-32）

一个基于Intel8086处理器，向后兼容的指令集体系结构（ISA，Instruction Set Architecture）的总称

我们通常所说的x86逆向，主要指的是其32位版本，即IA-32（Intel Architecture, 32-bit）

IA-32架构有三种主要操作模式：

实模式

16位运行环境，是早期MS-DOS等操作系统使用的模式
保护模式

现代操作系统所采用的模式，支持虚拟内存、分页等高级特性，为程序提供了独立的、受保护的内存空间
系统管理模式

用于执行固件中的特殊系统管理代码

x64

也称为x86-64，是x86体系结构的64位扩展，它完全兼容IA-32，意味着32位程序可以在64位系统上运行

字节序

字节序定义了多字节数据（如一个4字节的整数）在内存中是如何排列的

小端序

数据的低位字节存储在内存的低地址处

这是Intel x86/x64架构使用的模式，因其电路设计和数据处理效率较高

大端序

数据的高位字节存储在内存的低地址处

这种方式更符合人类的阅读习惯，常见于一些RISC架构的处理器

一个例子

现在需要存储一个4字节的整数0x12345678

内存地址	大端序存储	小端序存储
低地址	`12`	`78`
↓	`34`	`56`
↓	`56`	`34`
高地址	`78`	`12`

在逆向分析中，内存二进制地址方向是从上至下，从左至右增大

因此，当我们在内存窗口看到78 56 34 12时，须将其理解为0x12345678

IA-32 内存

内存模型

平面内存模型

现代操作系统普遍采用的模型

程序的所有部分（代码、数据、栈）都位于一个连续统一的线性地址空间中

分段内存模型

程序被划分为多个独立的段，比如有代码段、数据段、栈段等

一个逻辑地址由段选择器和段内偏移两部分组成：

逻辑地址 = 段寄存器中的段选择器/段选择子 + 段内偏移量

段选择子是一个16位的值，它存放在段寄存器里，二进制结构如下：

位段	名称	含义
Index	描述符索引	表示该段描述符在描述符表中的序号
TI	表标志	指示去哪个描述符表查段描述符（0是GDT，1是LDT）
RPL	请求特权级	用于访问权限控制（0最高，3最低）

而汇编代码里一般只写偏移量，段选择器是隐含的，CPU自动知道用哪个段寄存器

比如mov EAX, [0x0010]，就相当于是mov EAX, DS:[0x0010]

汇编语句类型	默认段寄存器
`mov eax, [offset]`	`DS`
`mov [offset], eax`	`DS`
栈操作（`push` / `pop`）	`SS`
代码取指令	`CS`

分段内存模型的内存管理

对于分段内存模型，不同操作模式（实模式/保护模式）下，内存管理方式和寻址模式存在差异

实模式下的内存管理

管理方式

实模式的内存管理方式非常简单，可以看作是一种特殊的分段模型

有20位地址总线，CPU能够访问的物理内存上限为1MB的地址空间
内存被划分为一系列64KB大小的段

程序使用的地址由两部分组成：

一个16位的段选择器和一个16位的偏移地址

通过将段选择器的值左移4位，相当于乘以16（因为地址线是20位），加上16位的偏移地址得到物理地址

物理地址 (20-bit) = 段选择器 (16-bit)*16 + 偏移量 (16-bit）

示例

假设段寄存器DS的值为0x1000，指令要访问的偏移地址是0x0123

CPU取出段选择器的值：0x1000
将其左移4位：0x10000
加上偏移地址：0x10000 + 0x0123
最终得到的物理地址是0x10123

实模式没有内存保护机制，任何程序都可以访问全部1MB的内存空间，一个程序的错误可能会导致整个系统崩溃，也不支持虚拟内存等现代操作系统的核心功能

保护模式下的内存管理

总体流程

在保护模式下，我们代码中使用的地址（逻辑地址）需要经过CPU的转换才能访问到真正的物理内存

这个过程对程序是透明的

保护模式的地址管理必须使用分段，另外也可以选择使用分页

下图是完整的地址访问流程：

逻辑地址 → 线性地址

逻辑地址的段选择器告诉CPU该去哪一个描述符表（GDT/LDT）查询得到段描述符

段描述符里存有段基址、段界限、访问权限等内容

线性地址 = 段基址 + 偏移量

线性地址 → 物理地址

如果没有开启分页机制**，那么：

物理地址 = 线性地址

但是现代操作系统一般都启用了分页，CPU的内存管理单元 (MMU) 会进行下一步转换

MMU将32位的线性地址拆分为三部分：页目录索引 (10位) + 页表索引 (10位) + 页内偏移 (12位)

页目录表：有1024个表项，每项4B，共4KB，每项指向一个页表
页表：也有1024个表项，每项4B，共4KB，每项指向一个物理页框
页框：大小固定为4KB

先查页目录，再查页表，最终找到数据所在的物理内存页，加上页内偏移，就得到了最终的物理地址

物理地址 = 物理页框基址 + 页内偏移

示例

我们现在运行在一个 32位保护模式的系统中，分页功能已经开启，程序中有这样一条指令：

mov eax, [0x1234]

这条指令的意思是把内存中地址DS:0x1234处的数据读到EAX寄存器中，也就是说，这里访问的逻辑地址是：

逻辑地址 = DS : 0x1234

假设段寄存器DS的内容是0x0008，二进制表示：

0000 0000 0000 1000b

字段	位	值	含义
Index	15:3	1	第1个描述符
TI	2	0	从GDT中查
RPL	1–0	0	当前访问特权级 0

假设GDT[1]这个描述符里存的段信息是：

字段	值
段基址	0x00400000
段界限	0x000FFFFF
访问属性	可读可写数据段

于是：

段基址 = 0x00400000
线性地址 = 段基址 + 偏移量 = 0x00400000 + 0x00001234 = 0x00401234

现在系统开启了分页，假设页目录基址寄存器CR3的值是0x00100000，即页目录表在物理内存0x00100000处

把线性地址0x00401234拆成三段，二进制表示：

0000 0000 0100 0000 0001 0010 0011 0100

部分	位数	值（二进制）	十进制
页目录索引	10 位	0000000001	1
页表索引	10 位	0000000010	2
页内偏移	12 位	001101000100	0x234

页目录表起始于0x00100000，每个表项占4字节，页目录索引是1，所以要读的表项地址：

0x00100000 + 1 * 4 = 0x00100004

假设这个页目录项内容是0x00200003

高20位：页表的物理基址，是0x00200000
低12位：标志位（Present=1, RW=1, US=0）

页表基址0x00200000，页表索引是2，所以要读的表项地址：

0x00200000 + 2 * 4 = 0x00200008

假设这个页表项内容是0x00A00003

高20位：物理页框基址，是0x00A00000

最终得到物理地址：

物理地址 = 页框基址 + 页内偏移 = 0x00A00000 + 0x00000234 = 0x00A00234

IA-32核心寄存器

通用寄存器 (GPR)

IA-32架构有8个32位通用寄存器

32位	16位	8位高/低	主要功能
EAX	AX	AH / AL	累加器（Accumulator）用于算术运算和函数返回值
EBX	BX	BH / BL	基址寄存器（Base）用于在内存中寻址
ECX	CX	CH / CL	计数器（Counter）用于循环和字符串操作的计数，是无符号计数器
EDX	DX	DH / DL	数据寄存器（Data）配合EAX进行乘除法运算或存放I/O指针
ESI	SI	-	源变址寄存器（Source Index）字符串和内存操作的源地址
EDI	DI	-	目的变址寄存器（Destination Index）字符串和内存操作的目的地址
ESP	SP	-	栈指针（Stack Pointer) 永远指向当前栈的栈顶
EBP	BP	-	基址指针（Base Pointer）用作当前函数栈帧的基址，用于访问局部变量和参数

程序状态与控制寄存器 (EFLAGS)

EFLAGS寄存器是一个32位的寄存器

它的每一位（标志位）都记录了程序运行中的特定状态，主要用于条件判断和流程控制

Basic Execution Environment of Intel Processor 32-bit Architecture | Tachyon

下面是一些常用的标志位：

标志位	名称	描述和功能
ZF	零标志 (Zero Flag)	若算术运算结果为0，则ZF置为1，否则为0，常用于判断相等
OF	溢出标志 (Overflow Flag)	当有符号整数运算的结果超出寄存器能表示的范围时，OF置为1
CF	进位标志 (Carry Flag)	当无符号整数运算的结果溢出（产生进位或借位）时，CF置为1
SF	符号标志 (Sign Flag)	等于运算结果的最高位（也就是符号位）对于有符号数，0表示正数，1表示负数
DF	方向标志 (Direction Flag)	控制字符串操作指令（如MOVS, SCAS）的处理方向若DF=0，变址寄存器（ESI, EDI）地址递增若DF=1，则地址递减
TF	陷阱标志 (Trap Flag)	若置为1，CPU在执行每条指令后会产生一个单步中断
IF	中断允许标志 (Interrupt Enable Flag)	若置为1，CPU可以响应外部设备的中断请求

指令指针寄存器 (EIP)

EIP（Extended Instruction Pointer）是一个32位的寄存器，存放着下一条将要被CPU执行的指令的地址

CPU总是根据CS段寄存器和EIP寄存器中的地址来读取下一条指令，每当一条指令被读取后，EIP的值会自动增加，增加的大小等于刚刚被读取指令的字节数，从而指向紧随其后的下一条指令

EIP寄存器的值不能被直接修改，它的改变只能通过特定的控制流指令（如 JMP, CALL, RET）或者由中断、异常来完成

段寄存器

段寄存器是6个16位的寄存器，在保护模式的内存分段管理中，它们存放着指向各个内存段的“段选择器”，CPU通过这些段选择器在系统描述符表（GDT/LDT）中找到段的实际基地址。

寄存器	名称	主要功能
CS	代码段寄存器 (Code Segment)	存放应用程序代码所在段的段选择器
SS	栈段寄存器 (Stack Segment)	存放当前程序栈所在段的段选择器
DS	数据段寄存器 (Data Segment)	存放程序主要数据所在段的段选择器
ES/FS/GS	附加数据段寄存器 (Extra Segment)	存放程序使用的附加数据段的段选择器可用于特殊目的，比如通过FS定位线程环境块（TEB）等

IA-32数据类型

基本数据类型

这些是构成更复杂数据结构的基础整数类型

Byte

1字节（8位）的数据
Word

2字节（16位）的数据
Doubleword

4字节（32位）的数据

这是IA-32架构中最常用的数据大小，与通用寄存器（如EAX）的大小一致
Quadword

8字节（64位）的数据

虽然IA-32没有64位的通用寄存器，但在某些特定指令（如RDTSC）或通过组合EDX和EAX寄存器，可以处理64位数据
Double Quadword

16字节（128位）的数据

浮点数据类型

半精度（Half Precision）：16位浮点数
单精度（Single Precision）：32位浮点数
双精度（Double Precision）：64位浮点数
扩展双精度（Double Extended Precision）：80位浮点数

指针类型

指针在IA-32中用于存储内存地址，主要分为两种

Near Pointer（近指针）

这是一个32位的偏移量

它指向当前段内的某个地址，在现代操作系统的平面内存模型下，这实际上就是程序的虚拟地址
Far Pointer（远指针）

这是一个48位的指针，由一个16位的段选择器和一个32位的偏移量组成

它用于在分段内存模型下，跨段访问数据

IA-32汇编指令

Intel与AT&T汇编语法

Intel语法

这是Windows环境下的主流语法，易于阅读

[指令] [目标操作数], [源操作数]

逗号后面空格不是语法必须的，但是加空格是一个非常推荐的习惯，大多数逆向软件也遵从这个习惯

本文档后续将统一使用Intel语法

AT&T语法

常用于Linux和GNU工具链

[指令] [源操作数], [目标操作数]

示例

将立即数4移动到EAX寄存器

语法	指令
Intel	`mov eax, 4`
AT&T	`mov $4, %eax`

数据移动指令

这类指令用于在寄存器、内存和立即数之间传递数据

MOV：数据传送

MOV(move)是数据传送指令，将右边操作数的值复制到左边操作数中

但是这两个操作数中最多只能有一个是内存操作数（带方括号的那种），另一个必须是寄存器或立即数

立即数 -> 寄存器

将常量0x12345678放入ESI

MOV ESI, 0x12345678

寄存器 -> 寄存器

将ECX的内容复制到EAX

MOV EAX, ECX

立即数 -> 内存

将地址为EAX的4字节内存设为1

MOV DWORD PTR [EAX], 1

[EAX]表示取EAX寄存器中的值作为内存地址

DWORD PTR表示操作的内存数据大小是4字节（32 位）

当汇编器不清楚要操作内存的大小时，就需要使用修饰符来确定，以下是常用的修饰符：

修饰符	大小	说明
BYTE PTR	1 字节（8 位）	访问 8 位数据
WORD PTR	2 字节（16 位）	访问 16 位数据
DWORD PTR	4 字节（32 位）	访问 32 位数据
QWORD PTR	8 字节（64 位）	访问 64 位数据
NEAR PTR	2/4 字节偏移	近指针，只包含偏移，段寄存器不变，常用于近调用
FAR PTR	段 + 偏移	远指针，包含段选择符和偏移，常用于跨段调用

寄存器 -> 内存

将EBX的值写入地址为EAX的内存中

MOV [EAX], EBX

将EAX的值写入地址为ESI+0x34的内存中

MOV [ESI+34H], EAX

注意这里的[]不能拆开写！

内存 -> 寄存器

将地址为ECX的内存中的值读入EAX

MOV EAX, [ECX]

将地址为ECX+EAX的内存中的值读入EDX

MOV EDX, [ECX+EAX]

将内存中地址0x50处的数据读入寄存器EAX

MOV EAX, [0x50]

LEA：加载有效地址

LEA (Load Effective Address) 用于计算源操作数指定的内存地址，并将地址加载到目标寄存器中

它与MOV的关键区别在于，MOV会访问该地址并取出其中的数据，而LEA只计算地址，不访问内存

也正因如此，使用LEA计算时，寄存器必须加上[]表示取地址

计算内存地址

假设EAX = 0x1000, 内存地址0x1000处的值为0xABCD

使用MOV：

MOV EBX, [EAX]

MOV将地址EAX（0x1000）指向的数据0xABCD放入EBX，结果是EBX = 0xABCD

使用LEA：

LEA EBX, [EAX]

LEA将地址表达式[EAX]本身的值0x1000放入EBX，结果是EBX = 0x1000

执行快速数学运算

LEA可以执行一些基础的数学运算，且比使用ADD或MUL等指令更高效，因为它不影响CPU的标志位

计算EAX = EBX + ECX * 4 + 100H：

LEA EAX, [EBX + ECX*4 + 100H]

注意这里的[]不能拆开写！

串操作

这类指令专门用于高效处理内存中的连续数据块（字符串）

它们通常与 REP 系列前缀结合使用，以重复执行相同的操作，重复次数由 ECX 寄存器控制

REP系列前缀

REP

全称REPeat，在执行指令前会检查ECX，指令会重复执行ECX次

eg：

MOV ECX, 5        ; 重复次数
REP MOVSB         ; 将[ESI]的字节移动到[EDI]，重复5次

REPE / REPZ

全称REPeat While Equal / REPeat While Zero，当ZF=1且ECX不为0时继续重复

eg：

MOV ECX, 10
REP CMPSB        ; 比较两个字符串，ZF=1时继续，最多10次

REPNE / REPNZ

全称REPeat while Not Equal / REPeat while Not Zero，当ZF=0且ECX不为0时继续重复

eg：

MOV ECX, 10
REPNE SCASB       ; 扫描字符串，ZF=0时继续，最多10次

索引增减控制指令CLD/STD

EFLAGS寄存器中的DF标志位决定了每次操作后ESI和EDI的变化方向，而CLD和SLD指令控制着DF

CLD指令

全称Clear Direction Flag，DF = 0，ESI和EDI在每次操作后递增

STD指令

全称Set Direction Flag，DF = 1，ESI和EDI在每次操作后递减

取地址运算符OFFSET

OFFSET是汇编语言中的一个编译时运算符，作用是取得一个标号（变量、数组等）的内存地址（偏移量）

比如我在数据段（.data）定义一个变量：

.data
SourceAddress DB 'A', 'B', 'C', 0

假设编译器把这段数据放在内存地址0x00405000

那么OFFSET SourceAddress在汇编时就会被计算为0x00405000

💡 Tip

这里的DB被称作伪指令

它不是CPU执行的指令，是给汇编器用的命令，告诉汇编器在程序中生成数据、定义常量或分配空间

类似伪指令还有：

指令	全称	定义单位	示例
`DB`	Define Byte	1 字节	`DB 1, 2, 3`
`DW`	Define Word	2 字节	`DW 1234h`
`DD`	Define Doubleword	4 字节	`DD 0x12345678`
`DQ`	Define Quadword	8 字节	`DQ 0x1122334455667788`

MOVSB / MOVSW / MOVSD：移动字符串

MOVS（Move String）指令用于将数据从源地址DS:ESI复制到目标地址ES:EDI

根据指令后缀，它每次可以复制1、2或4个字节

MOVSB：移动1字节（Byte）
MOVSW：移动2字节（Word）
MOVSD：移动4字节（Double Word）

下面的代码是使用REP MOVSD将源地址的32字节数据复制到目标地址：

;设置参数
MOV ESI, OFFSET SourceAddress      ; 将源地址加载到ESI
MOV EDI, OFFSET DestAddress         ; 将目标地址加载到EDI
MOV ECX, 8                                       ; 设置重复次数 (8次*4字节/次=32字节)

;执行复制
CLD                                                     ; 清除方向标志位（DF=0），确保ESI和EDI递增
REP MOVSD                                        ; 重复执行MOVSD指令ECX次，即8次

STOSB / STOSW / STOSD：存储字符串

STOS（Store String）指令用于将AL/AX/EAX寄存器中的值存储到ES:EDI指向的内存地址

它常用于初始化一块内存区域

STOSB：将AL的内容存入[EDI]
STOSW：将AX的内容存入[EDI]
STOSD：将EAX的内容存入[EDI]

以下代码演示了如何将EDI指向的 36 字节内存块全部设置为 0

;设置参数
MOV EDI, ESI                   ; 设置目标内存地址 (假设地址已在ESI中)
XOR EAX, EAX                  ; 将EAX清零，这是我们要写入的值
MOV ECX, 9                     ; 设置重复次数 (9次*4字节/次=36字节)

;执行写入
CLD                                  ; 确保EDI递增
REP STOSD                      ; 重复执行STOSD指令ECX次，将EAX(0)连续写入目标内存

📝 Note

XOR EAX, EAX效果和MOV EAX, 0一样，都是将寄存器值置零，但是会更加高效

这是因为CPU看到XOR reg, reg这种特殊模式，会自动识别为清零优化，不会依赖旧值

Intel官方优化手册明确指出：

“Zero idioms such asXOR reg, regorSUB reg, regare recognized by the processor and are handled specially — they do not create a dependency on the old register value.”

SCASB / SCASW / SCASD：扫描字符串

SCAS（Scan String）指令用于将AL/AX/EAX寄存器中的值与ES:EDI指向的内存值进行比较，并根据比较结果设置EFLAGS寄存器的标志位

寄存器值等于内存值：ZF = 1
寄存器值不等于内存值：ZF = 0

它常用于在字符串中搜索特定字符

SCASB：比较AL和[EDI]
SCASW：比较AX和[EDI]
SCASD：比较EAX和[EDI]

下面的代码展示了如何计算一个以\0（NULL）结尾的字符串的长度

;设置参数
MOV EDI, EBX                   ; 假设字符串的起始地址在EBX中，将其加载到EDI
XOR AL, AL                        ; 将AL设置为0，即我們要查找的字符串结束符'\0'
MOV ECX, -1                     ; 将ECX设为最大值，以扫描任意长度的字符串

;执行扫描
CLD                                    ; 确保EDI递增
REPNE SCASB                    ; 当AL!=[EDI]时重复扫描，每次扫描EDI都会递增，直到找到'\0'或扫描完ECX次
                                           ; 找到'\0'后，EDI指向'\0'字符的下一个字节

;计算长度
NOT ECX                            ; 对ECX按位取反，得到扫描过的字符数
DEC ECX                             ; 让ECX减一，即减去最后的'\0'字符，得到字符串的实际长度
                                           ; 最终长度存储在ECX中

📝 Note

MOV ECX, -1这一步是为了什么？

在底层机器码中，-1并不会以负号形式存储，而是使用补码表示，而32位补码中-1 = 0xFFFFFFFF

所以这条指令本质上等价于：

MOV ECX, 0xFFFFFFFF

这样就把ECX设为了最大值0xFFFFFFFF，而ECX是无符号计数器，递减就从这个极大数开始，而不是-1

SCASB每执行一次，会自动让ECX减1，我们不知道字符串长度是多少，所以干脆从最大值开始扫

看看类似的用法：

汇编写法	实际数值	寄存器值
`MOV ECX, 0`	0	`0x00000000`
`MOV ECX, 1`	1	`0x00000001`
`MOV ECX, -1`	-1	`0xFFFFFFFF`
`MOV ECX, -2`	-2	`0xFFFFFFFE`

算术与位运算指令

这类指令用于执行基本的数学计算和位级操作

ADD / SUB：加法 / 减法

执行加法或减法运算，并将结果存回目标操作数

ADD dest, src              ; 结果是dest = dest + src
SUB dest, src               ; 结果是dest = dest - src

INC / DEC：加一 / 减一

将操作数的值增加1或减少1，比等效的 ADD/SUB 指令更短、更快

INC ECX                       ; 结果是ECX = ECX + 1
DEC EAX                      ; 结果是EAX = EAX - 1

NEG：取补

通过执行按位取反后加一的操作来获得操作数的算术相反数（补码）

NEG EBX                     ; 结果是EBX = -EBX

IMUL / MUL：有符号 / 无符号乘法

执行乘法运算，根据操作数的数量，用法有所不同

指令	操作数形式	结果寄存器	是否占用EDX	特点
`MUL SRC`	单操作数	EDX:EAX	是	完整64位结果，无符号
`IMUL SRC`	单操作数	EDX:EAX	是	完整64位结果，有符号
`IMUL DEC, SRC`	双操作数	ECX	否	只保留低32位，有符号
`IMUL DEC, SRC, 立即数`	三操作数	ECX	否	可立即数乘，有符号

单操作数（IMUL和MUL都支持）

将EAX与指定操作数相乘，结果是一个64位数，高32位存入EDX，低32位存入EAX

MOV EAX, -2       ; EAX = 0xFFFFFFFE
MOV EBX, 3

IMUL EBX           ; EAX * EBX = -6                        ->           EDX:EAX = 0xFFFFFFFF:0xFFFFFFFA
MUL EBX            ; EAX * EBX = 4294967290        ->           EDX:EAX = 0x00000002:0xFFFFFFFA

多操作数（只有IMUL支持）

提供更高的灵活性，，可指定目标寄存器，结果直接存入目标寄存器，不分高低位，不占用EDX

MOV EBX, 3
IMUL EAX, EBX        ; EAX = EAX * EBX
IMUL ECX, EBX, 5    ; ECX = EBX * 5 = 20

; 也可以直接指定内存，假设 [0x123] = -3
IMUL ECX, [0x123], 5   ; ECX = -3 * 5 = -15

IDIV / DIV：有符号 / 无符号除法

执行除法运算

位宽	被除数寄存器	商寄存器	余数寄存器
8位	AX	AL	AH
16位	DX:AX	AX	DX
32位	EDX:EAX	EAX	EDX

无符号的DIV

MOV EAX, 20       ; 低 32 位被除数
MOV EDX, 0        ; 高 32 位被除数
MOV EBX, 6        ; 除数
DIV EBX
; EAX = 20 / 6 = 3 (商)
; EDX = 20 % 6 = 2 (余数)

有符号的IDIV

MOV EAX, -20
MOV EDX, 0
MOV EBX, 6        ; 除数
IDIV EBX
; EAX = -20 / 6 = -3 (商)
; EDX = -20 % 6 = -2 (余数)

AND / OR / XOR：按位与 / 或 / 异或

对操作数进行按位逻辑运算，结果存回第一个操作数

指令	运算类型	说明
AND	按位与	两位都为1时结果为1，否则为0
OR	按位或	两位有1时结果为1，否则为0
XOR	按位异或	两位不同时结果为1，相同为0

AND EAX, 0x0F                        ; 取低4位，清除高28位
OR EAX, EBX                            ; 将EBX中为1的位合并到EAX
XOR EAX, 0xFFFFFFFF              ; 按位取反

之前提到过的XOR EAX, EAX是将EAX寄存器清零的最快方式，CPU能识别这种特殊形式并进行优化，不产生对旧值的依赖，因此比MOV EAX, 0更高效

NOT：按位取反

将操作数的每一位反转（0变1，1变0）

MOV EAX, 0x0F                         ; 二进制0000 0000 0000 1111
NOT EAX                                    ; 变成1111 1111 1111 0000 = 0xFFFFFFF0

SHL / SAL / SHR / SAR：逻辑 / 算数的左移 / 右移

将操作数的位向左或向右移动，空出的位用0填充

指令	运算	填充位	运算结果
SHL / SAL	左移	低位补 0	左移N位=乘以$2^N$
SHR	逻辑右移	高位补 0	右移N位=无符号除以$2^N$
SAR	算术右移	高位补符号位	右移N位=有符号除以$2^N$（保留符号）

MOV EAX, 3
SHL EAX, 2        ; EAX = 3 << 2 = 12 (3*2^2)
SAL EAX, 2        ; 和SHL完全一样

MOV EBX, 16    ; 0x00000010
SHR EBX, 2        ; EBX = 16 >> 2 = 4 (无符号除以 4)

MOV ECX, -16   ; 0xFFFFFFF0
SAR ECX, 2        ; ECX = -16 >> 2 = -4 (保留符号)

ROL / ROR：循环左移 / 右移

将操作数的位向左或向右移动，移出的位会从另一端循环回来填充空位

MOV AL, 10010011b       ; 二进制数 10010011，AL = 0x93
ROL AL, 2                         ; AL = 01001110b, 原高2位“10”循环到低位
ROR AL, 3                        ; AL = 11001001b, 低3位“110”循环到高位

控制流指令

这类指令通过修改EIP（指令指针）寄存器的值来改变程序的执行流程，从而实现分支、循环等结构

比较指令

这两个指令通过执行内部运算来改变EFLAGS寄存器中的状态标志位，但不会修改操作数本身

它们为后续的条件跳转指令提供判断依据

CMP：减法比较

内部执行A - B的减法运算

MOV EAX, 5
CMP EAX, 3       ; 实际执行 5 - 3
JG greater          ; 如果 EAX > 3, 跳转

TEST：AND比较

内部执行A AND B的按位与运算

eg1：检测寄存器是否为0

TEST EAX, EAX         ; A AND A
JZ  is_zero                ; 如果结果为 0 (ZF=1)，跳转

eg2：检测某一位是否为1

TEST AL, 1                 ; 检查最低位是否为 1
JNZ odd_number      ; 若最低位为1（奇数），跳转

JMP：无条件跳转

JMP（Jump）指令会立即无条件地将程序的执行点转移到指定的目标地址

基本语法：

JMP label

label可以是同一段代码内的标签（短跳转或近跳转），也可以是其他段的地址（远跳转）

    MOV EAX, 0      ; EAX = 0
    JMP skip            ; 无条件跳转到 skip 标签
    MOV EAX, 5      ; 这一行永远不会被执行！
skip:
    MOV EAX, 1      ; 执行到这里

Jcc：条件跳转

Jcc (Jump on Condition) 是一系列指令的统称

它们在CMP或TEST指令之后，根据EFLAGS寄存器的状态来决定是否进行跳转

指令	跳转条件（基于 EFLAGS）	含义（中文描述）	比较类型
JE / JZ	`ZF = 1`	相等 / 结果为零	通用
JNE / JNZ	`ZF = 0`	不相等 / 结果非零	通用
JG / JNLE	`ZF = 0 AND SF = OF`	大于（有符号数）	有符号
JGE / JNL	`SF = OF`	大于等于（有符号数）	有符号
JL / JNGE	`SF ≠ OF`	小于（有符号数）	有符号
JLE / JNG	`ZF = 1 OR SF ≠ OF`	小于等于（有符号数）	有符号
JA / JNBE	`CF = 0 AND ZF = 0`	大于（无符号数）	无符号
JAE / JNB	`CF = 0`	大于等于（无符号数）	无符号
JB / JNAE	`CF = 1`	小于（无符号数）	无符号
JBE / JNA	`CF = 1 OR ZF = 1`	小于等于（无符号数）	无符号
JS	`SF = 1`	结果为负	通用
JNS	`SF = 0`	结果为正或零	通用
JO	`OF = 1`	溢出发生	通用
JNO	`OF = 0`	无溢出	通用
JC	`CF = 1`	进位（或借位）发生	通用
JNC	`CF = 0`	无进位 / 无借位	通用
JP / JPE	`PF = 1`	奇偶标志为偶（结果1个数为偶数）	通用
JNP / JPO	`PF = 0`	奇偶标志为奇	通用

跳转指令前缀

跳转指令前缀是汇编器用来指示跳转类型或范围的关键字

它不改变跳转的条件本身，只影响指令编码和偏移量大小，也就是CPU计算跳转地址时用多少字节表示偏移

这本质上是告诉CPU跳转目标离它有多远，CPU会选择合适的指令长度（1-6字节）存储偏移

前缀	偏移量大小	说明
SHORT	8位有符号偏移量 (-128 ~ +127)	近距离跳转，小范围循环或if/else
NEAR	16位或32位偏移量（同段跳转）	目标在当前代码段内，距离较远
FAR	16/32位段内偏移 + 16位段选择子	跨段跳转，改变CS寄存器

条件跳转（Jcc）默认使用SHORT，如果目标太远，汇编器会自动转换为NEAR

流程控制结构示例

if-else结构

C语言：

if (*esi != 0) {
    // block A
}
// block B

汇编：

    MOV EDX, [ESI]      ; EDX = *esi
    TEST EDX, EDX       ; 比较 EDX 和 0
    JZ SHORT block_B    ; 如果 EDX 为 0, 则跳转到 block_B
    ;block A 的代码
    ...
block_B:
    ;block B 的代码

for循环结构

C语言：

for (int i=0; i<10; i++) {
    printf("%d\n", i);
}

汇编：

    XOR ESI, ESI                                              ; ESI = 0 (作为计数器 i)
LOOP_START:
    ;调用 printf 的代码
    PUSH ESI
    PUSH OFFSET FORMAT_STRING
    CALL printf
    ADD ESP, 8                    						      ; 平衡堆栈
    	
    INC ESI            											  ; i++
    CMP ESI, 10         									  ; 比较 i 和 10
    JL SHORT LOOP_START  						    ; 如果 i < 10, 继续循环

栈与函数调用指令

栈

在IA-32架构下，栈是连续的内存区域，用于存储临时数据、函数参数和返回地址

栈存在于一个栈段内，由段寄存器SS指向段描述符
ESP寄存器所包含的栈指针永远指向栈顶位置，所有针对栈的操作都是基于SS:ESP的地址引用

IA-32 的栈通常是高地址向低地址生长

栈帧

什么是栈帧

每当一个函数被调用时，都会在栈上为其分配一块专属空间，称为该函数的栈帧

栈帧用于存放函数的局部变量、传递给其他函数的参数以及保存调用者的上下文信息

栈帧的组成内容如下：

内容	说明
局部变量	函数内部声明的变量，存放在栈帧中
参数	调用被调用函数时压入栈的参数
栈帧相关指针	用于管理函数返回与栈帧切换
返回指令指针	`CALL`指令将EIP（下一条指令地址）压栈，函数返回后跳转到这里执行

栈帧基指针（EBP）

EBP在函数调用时用作栈帧的固定参考点，方便访问局部变量和函数参数

基本栈操作：PUSH / POP

PUSH：压栈

将一个寄存器、内存或立即数的值压入栈顶

先将栈顶指针ESP减去一个单位，然后将操作数存入ESP指向的新地址：

栈向低地址扩展，IA-32下，一个单位4字节（32bit）：ESP = ESP - 4
将数据写入栈顶：[ESP] = 操作数

MOV EAX, 0x1234
PUSH EAX   ; ESP -= 4 , [ESP] = 0x1234

PUSH先减再存值

POP：出栈

从栈顶取出数据到寄存器或内存，并恢复栈指针

先将ESP指向地址的值取出到目标操作数，然后将ESP增加一个单位：

取出[ESP]的值到目标操作数
栈指针上移，恢复原位置：ESP = ESP + 4

POP EBX    ; EBX = 栈顶值 , ESP += 4

POP先取值再加

调用与返回的分类

根据目标函数与调用者是否在同一个代码段，调用和返回可以分为两类

近调用 (Near Call) / 近返回 (Near Return)

控制流转移到当前代码段中的函数，或从当前代码段的函数返回

这是最常见的调用方式，用于访问程序内部的本地函数

远调用 (Far Call) / 远返回 (Far Return)

控制流转移到其他代码段中的函数，或从其他代码段返回

这种方式通常用于访问操作系统提供的服务（API）或其他进程的函数

CALL：调用函数

跳转到被调用函数，并保存返回地址以便函数执行完毕后回到调用点

近调用

压栈返回地址：CALL指令会将下一条指令的地址（EIP）压入栈顶
跳转到函数入口：CPU将EIP设置为被调用函数的起始地址

; 假设当前 EIP = 0x00401000
CALL my_function  ; 1. 保存返回地址：PUSH 0x00401005 (CALL指令长度为5字节)
                               ; 2. 跳转到my_function：JMP my_function

远调用

对于远调用，由于跨越了代码段，CPU不仅需要保存返回的地址偏移（EIP），还必须保存返回的段（CS），以便能够正确返回到调用者所在的原始代码段

压栈段寄存器CS：将当前代码段寄存器CS的值压入栈顶
压栈返回地址EIP：将EIP的当前值压入栈顶
跳转到函数入口：将目标函数的段选择器和偏移地址分别载入CS和EIP寄存器

CALL FAR PTR 2000h:0100h  ; 远调用到 2000:0100

这里必须使用FAR PTR表示是远调用，否则会被当成近调用处理

RET：从函数返回

从栈顶取出返回地址，恢复执行流到调用者

近返回（RET/RETN）

弹出返回地址：从栈顶弹出一个32位的值到EIP寄存器
清理参数 (可选)：RET n会在弹出返回地址后，额外将ESP增加n字节，用于清理调用者压入栈的参数

RET       ; 标准返回
RETN     ; 近返回
RET 8     ; 返回并清理栈上 8 字节参数

此时就可以把RET理解为：

POP EIP

远返回（RETF）

弹出返回地址EIP：从栈顶弹出一个32位的值到EIP寄存器
弹出段寄存器CS：从栈顶弹出一个16位的值到CS寄存器

RETF ; 远返回

CPU不跟踪返回指令指针在栈上的位置，程序员必须确保在执行RET指令时，栈顶内容恰好是正确的返回地址

如果栈上的返回地址在RET执行前被修改（例如通过缓冲区溢出），程序的执行流就可能被劫持，这是一个常见的安全漏洞

调用约定

这是函数调用双方必须遵守的一套规则，它规定了参数如何传递、返回值如何返回、以及哪一方（调用者或被调用者）负责清理栈上的参数。

cdecl

C语言的默认约定，参数从右到左压栈，调用者负责清理栈
stdcall

Win32API常用，参数从右到左压栈，被调用者负责清理栈（通过 RET n）
fastcall

stdcall的变种，前两个（或更多）参数通过ECX和EDX等寄存器传递，以提高速度，剩余参数压栈，被调用者负责清理

栈帧的创建与销毁（函数指令框架）

函数序言 (Prologue)

当执行CALL语句之后，函数开始时建立自己的栈帧

PUSH EBP              ; 保存调用者的栈帧基址 (旧EBP)
MOV EBP, ESP        ; 将当前栈顶设为新的栈帧基址
SUB ESP, 20H         ; 让栈顶向低地址处延伸，以此为局部变量分配32字节空间

局部变量会放在EBP下面（地址更小），参数会放在EBP上面（地址更大），也就是这样访问：

[EBP + 8]     	   	    ; 第一个参数（返回地址占用了4字节，所以从第8字节开始）
[EBP + 12]     		   ; 第二个参数
[EBP - 4]     		     ; 第一个局部变量
[EBP - 8]     		      ; 第二个局部变量

函数结尾 (Epilogue)

函数返回前恢复调用者栈帧的标准操作

MOV ESP, EBP         ; 释放局部变量空间
POP EBP                  ; 恢复调用者的栈帧基址
RET                          ; 返回

ENTER / LEAVE

高级指令，用于简化栈帧的创建和销毁

ENTER等价于函数序言，LEAVE等价于MOV ESP, EBP; POP EBP

也就是说，一个函数应该（不是必须）写在这样的框架里：

PUSH EBP
MOV EBP, ESP
;（函数主体，局部变量/操作）
MOV ESP, EBP
POP EBP
RET

或者：

ENTER
;（函数主体，局部变量/操作）
LEAVE
RET

调用流程总结

结合之前所说的一切，我们就总结出来一个函数被调用时触发的操作顺序：

调用者准备调用（压入参数）
执行CALL指令（压入返回地址）
函数序言（压入调用者的EBP，为局部变量开辟空间）
函数主体（压入局部变量）

那么当一个栈帧创建完毕，应该是这样的：

高地址
│ 参数                                        ← 函数调用者压入
│ 返回地址                                 ← call 自动压入
│ 旧 EBP（上一个EBP）             ← push ebp 保存调用者基址    
│ 局部变量
低地址

而在PUSH EBP之后，当前栈顶变成了栈帧的基址，也就是说帧创建完毕后，EBP和ESP位置如下：

高地址
│ 参数                                       
│ 返回地址                                 
│ 旧 EBP（上一个EBP）
   [EBP位置]
│ 局部变量
   [ESP位置]
低地址

此时[EBP]存放着调用者的EBP，[ESP]存放着最后一个局部变量（如果申请的空间用满了的话）

下面的图就很好展示了调用函数栈帧变化：

调用流程示例

举个例子，假设有这样一个程序：

main:
    call foo
    ret

foo:
    push ebp
    mov  ebp, esp
    sub  esp, 4
    mov  DWORD PTR [ebp-4], 1 ;局部变量
    push 1 ;传入bar的参数
    call bar
    mov  esp, ebp
    pop  ebp
    ret

bar:
    push ebp
    mov  ebp, esp
    sub  esp, 4
    mov  esp, ebp
    pop  ebp
    ret

进入main

EBP：main的旧EBP

ESP：main栈顶（局部变量区底）

高地址
┌───────────────────────┐
│   main 的参数（也许有也许没有）				   │
├───────────────────────┤
│   main 的返回地址                          │ ← 调用者是CRT（C运行时）
├───────────────────────┤
│   调用 main 的栈帧的EBP                │ ← EBP 指向这里
├───────────────────────┤
│   main 的局部变量                          │
└───────────────────────┘
低地址

call foo

main函数先把foo需要的参数压栈，之后call foo

call foo做了两件事：

1.把call下一条指令的地址，即当前EIP（指向call指令）+call指令长度，也即foo的返回地址，压入栈

2.让EIP跳转到foo的开始地址

高地址
┌───────────────────────┐
│   main 的参数                                 │
├───────────────────────┤
│   main 的返回地址                          │
├───────────────────────┤
│   调用 main 的栈帧的EBP                │
├───────────────────────┤
│   main 的局部变量                          │
├───────────────────────┤
│ → foo 的参数                                 │
├───────────────────────┤
│ → foo 的返回地址 (ret to main)     │ ← ESP
└───────────────────────┘
低地址

进入foo

进入foo后，执行序言，为foo创建帧：

push ebp         ; 保存 main 的 EBP
mov  ebp, esp    ; 建立 foo 的基址
sub  esp, 4      ; 为 foo 的局部变量分配空间

EBP：当前栈帧的固定基址

[EBP]：main的旧EBP

[EBP+4]：返回地址（返回 main）

[EBP-4]、[EBP-8]：foo的局部变量

高地址
┌─────────────────────────────┐
│   main 的参数                                               │
├─────────────────────────────┤
│   main 的返回地址                                        │
├─────────────────────────────┤
│   调用 main 的栈帧的EBP                              │
├─────────────────────────────┤
│   main 的局部变量                                         │
├─────────────────────────────┤
│   foo 的参数                                                  │
├─────────────────────────────┤
│   foo 的返回地址 (ret to main)                      │
├─────────────────────────────┤
│  → main 的 EBP                                            │ ← EBP
├─────────────────────────────┤
│  → foo 的局部变量 (4字节)                           │ ← ESP 指向这里
└─────────────────────────────┘
低地址

之后执行：

 mov  DWORD PTR [ebp-4], 1

给foo的局部变量空间写入值

foo调用bar

同样的流程

高地址
│ main 的 ...                                                    │
├─────────────────────────────┤
│ foo 的参数                                                    │
├─────────────────────────────┤
│ foo 的返回地址 (ret to main)                        │
├─────────────────────────────┤
│ main 的 EBP                                                 │
├─────────────────────────────┤
│ foo 的局部变量 (4字节)                                 │
├─────────────────────────────┤
│ bar 的参数                                                    │
├─────────────────────────────┤
│ bar 的返回地址 (ret to foo)                           │
├─────────────────────────────┤
│ foo 的 EBP                                                   │  ← EBP
├─────────────────────────────┤
│ bar 的局部变量 (4字节)                                 │ ← ESP
└─────────────────────────────┘
低地址

返回过程

首先bar执行MOV ESP, EBP，释放bar栈帧中存放了bar局部变量的地方

高地址
│ main 的 ...                                                    │
├─────────────────────────────┤
│ foo 的参数                                                    │
├─────────────────────────────┤
│ foo 的返回地址 (ret to main)                        │
├─────────────────────────────┤
│ main 的 EBP                                                 │
├─────────────────────────────┤
│ foo 的局部变量 (4字节)                                 │
├─────────────────────────────┤
│ bar 的参数                                                    │
├─────────────────────────────┤
│ bar 的返回地址 (ret to foo)                           │
├─────────────────────────────┤ 
│ foo 的 EBP                                                   │   ← EBP  ← ESP 
├─────────────────────────────┤
│ bar 的局部变量 (4字节)                                 │ （被释放）
└─────────────────────────────┘
低地址

然后执行POP EBP，将ESP指向的内容（foo的EBP）给EBP，然后释放这部分空间

高地址
│ main 的 ...                                                    │
├─────────────────────────────┤
│ foo 的参数                                                    │
├─────────────────────────────┤
│ foo 的返回地址 (ret to main)                        │
├─────────────────────────────┤
│ main 的 EBP                                                 │ ← EBP
├─────────────────────────────┤
│ foo 的局部变量 (4字节)                                 │
├─────────────────────────────┤
│ bar 的参数                                                    │
├─────────────────────────────┤
│ bar 的返回地址 (ret to foo)                           │ ← ESP
├─────────────────────────────┤ 
│ foo 的 EBP                                                   │ （被释放）   
├─────────────────────────────┤
│ bar 的局部变量 (4字节)                                 │ （被释放）
└─────────────────────────────┘
低地址

最后执行RET，弹出返回地址，EIP跳转到foo的返回位置（main函数）

如果有参数则额外RET N释放参数空间

高地址
│ main 的 ...                                                    │
├─────────────────────────────┤
│ foo 的参数                                                    │
├─────────────────────────────┤
│ foo 的返回地址 (ret to main)                        │
├─────────────────────────────┤
│ main 的 EBP                                                 │ ← EBP
├─────────────────────────────┤
│ foo 的局部变量 (4字节)                                 │ ← ESP
├─────────────────────────────┤
│ bar 的参数                                                    │（被释放）
├─────────────────────────────┤
│ bar 的返回地址 (ret to foo)                           │（被释放）
├─────────────────────────────┤ 
│ foo 的 EBP                                                   │ （被释放）   
├─────────────────────────────┤
│ bar 的局部变量 (4字节)                                 │ （被释放）
└─────────────────────────────┘
低地址

这样一来，bar的整个栈帧被销毁，ESP和EBP还原至foo栈帧

foo返回也是一样

下图关于参数划分的栈帧位置有些不同，不过也能辅助理解嵌套调用：