一、JMP 指令：修改EIP 當(dāng)前運(yùn)行的下一條指令

       JMP 寄存器/立即數(shù)
       目標(biāo)類似：  mov  EIP，寄存器/立即數(shù)

       CALL指令:  調(diào)用函數(shù)  CALL 地址A/寄存器
       等價(jià)： 
               PUSH 地址B           ；保存call的下一條指令地址，壓棧，作為返回值，
               MOV EIP,地址A/寄存器            ； 將函數(shù)首地址作為EIP

       RET指令：
       等價(jià)：LEA ESP,[ESP+4]       ; esp = esp + 4
                  MOV EIP，[ESP-4]     ；和 CALL相反，將CALL 指令的下一條指令地址賦值給EIP；

二、比較指令

       CMP  R/M,R/M/IMM
       該指令是比較兩個(gè)操作數(shù),實(shí)際上,它相當(dāng)于SUB指令,但是相減的結(jié)果并不保存到第一個(gè)操作數(shù)中。只是根據(jù)相減的結(jié)果來(lái)改變零標(biāo)志位的,當(dāng)兩個(gè)操作數(shù)相等的時(shí)候,零標(biāo)志位置1。
       
       TEST指令：指令格式：TEST  R/M,R/M/IMM
        該指令在一定程序上和CMP指令是類似的（類似and）,兩個(gè)數(shù)值進(jìn)行與操作,結(jié)果不保存,但是會(huì)改變相應(yīng)標(biāo)志位.
       常見(jiàn)用法：用這個(gè)指令,可以確定某寄存器是否等于0。(觀察ZF)

三、JCC指令  16種跳轉(zhuǎn)

       比較指令之后，一般都會(huì)有分支判斷。
       根據(jù)標(biāo)志位進(jìn)行判斷，下一步的分支。

四、思考

1、CALL執(zhí)行時(shí)堆棧有什么變化？EIP有變化嗎？
      Call執(zhí)行時(shí)，保存了cal函數(shù)首地址到EIP，同時(shí)將Call函數(shù)的首地址壓棧； 
2、RET執(zhí)行時(shí)堆棧有什么變化？EIP有變化嗎？
      和Call的過(guò)程相反，將前面Call的下一條指令地址，從堆棧中取出來(lái)作為EIP。
3、使用匯編指令修改標(biāo)志寄存器中的某個(gè)位的值，實(shí)現(xiàn)JCC的十六種跳轉(zhuǎn).
    不允許在OD中通過(guò)雙擊的形式修改標(biāo)志寄存器.
    要通過(guò)匯編指令的執(zhí)行去影響標(biāo)志位，能用CMP和TEST實(shí)現(xiàn)的優(yōu)先考慮.
     見(jiàn)上面的表格； 

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評(píng)論