汇编学习之《call, return指令》
call 指令
call 指令就是调用函数的执行,不过它也是几个指令的组合
第一步通过jmp + 函数地址的方式先跳转到函数
第二步通过push 指令将函数地址指令额下一行的指令的地址压入栈中。
我们来验证下
首先打开OllyDbg,导入你的程序,找到一个call 函数,通过F8执行到call函数处,先不要执行函数。
先记住以下几个值(你我的值肯定不一样,只要位置记对可以):
call 函数下一个指令地址:002582e2
当前栈顶数据: 地址:01bbfbf8 值:3149f0b4
接下来通过F7执行,进入函数。
进入函数后可以看到栈顶ESP 寄存器里面的值就是之前call 下面一个指令的函数地址。 同时ESP 栈顶指针地址提升了4个。从01bbfbf8变成了01bbfbf4, 栈顶的值也是之前记录的call下面的一个指令地址002582e2。
这个也好理解,先把函数下一个地址入栈, 接下来执行函数,当函数遇到retn指令的时候出栈到那条指令就可以继续执行了。
持续按F8 直到执行到retn
这里可以看到栈顶有回到即将执行的指令的地址 002582e2、
最后F8
可以看到,这个就函数的调用整个过程
retn 指令
其实执行的pop eip,就上将栈里面的地址放入到EIP(EIP (Extended Instruction Pointer): 保存cpu 下一次将要执行的代码的地址)
上一篇:汇编学习之《jcc指令》
下一篇: