[toc]
call
和ret
指令都是转移指令,它们都修改IP,或同时修改CS和IP。他们经常被用来实现子程序(函数)的设计。
ret
指令:用栈中的数据,修改IP的内容,从而实现(近转移
);
CPU执行ret指令时,需要进行下面两个步骤:
相当于:pop IP
- (1) (IP) = ((ss)*16+(sp))
- (2) (SP)=(sp)+2
retf
指令:用栈中的数据,修改CS和IP的内容,从而实现(``远转移`)。
CPU执行retf指令时,需要进行下面四个步骤
相当于:pop CS,pop IP
- (1) (IP) = ((ss)*16+(sp))
- (2) (SP) = (sp)+2
- (3) (CS) = ((ss)*16+(sp))
- (4) (SP) = (sp)+2
;************************************
; ret指令实验 *
;************************************
assume cs:code,ss:stack
;>>>>>>>>>>>>>>>>>>>>>
;堆栈段
;>>>>>>>>>>>>>>>>>>>>>
stack segment
db 16 dup(0)
stack ends
;>>>>>>>>>>>>>>>>>>>>>
;代码段
;>>>>>>>>>>>>>>>>>>>>>
code segment
mov ax,4c00h
int 21h;退出到DOS
main:;程序入口
mov ax,stack
mov ss,ax ;关联堆栈段
mov sp,16 ;设置栈顶
mov ax,0
push ax ;压栈
ret ;pop ip, ->cs:ip cs:0 ,让程序跳到入口处上面
code ends
end main
call 与 ret 指令共同支持了汇编语言编程中的模块化设计
在X86架构下:call基本都是调用一个函数,比如调用MessageBox
,在汇编中就会写成Call MessageBox
,并且call
经常和ret
搭配使用,下面我们来说说call的原理。
CPU执行call指令时,会进行如下两个步骤:
- (1) 将当前的IP或者CS:IP压入栈中;
- (2) 转移指令(jmp)
我们这里先来看看x86
架构下EXE执行call的流程。
-
用
x32dbg
打开HelloWorld.exe
,然后反汇编视图如下:此时我们还没执行Call,然后我们先记一下Call下条指令的地址
0x0040107C
,然后接着第2步骤按F7
进入到call内部,然后此时注意观察堆栈的信息。
-
我们按
F7
进入到call内容。第一步里面我们记下来的
0x0040107C
地址,被push到了堆栈里面,并且jmp
到了函数的地址00401000
,所以验证了之前CPU执行call指令会有两个步骤(push ip,并且jmp 到call 函数的地址)。
8086
CPU架构中:
- call 标号(近转移)
push ip
jmp near ptr 标号
- call far ptr 标号(段间转移)
push cs
push ip
jmp fat ptr 标号
- call 16位寄存器
push ip
jmp ax
- call word ptr 内存单元地址
mov ax, 0123h
mov ds:[0],ax
call word ptr ds:[0]
;等于
push ip
jmp word ptr ds:[0]
- call dword ptr 内存单元地址
mov ds:[0],ax
mov word ptr ds:[2],0
call dword ptr ds:[0]
;等于 cs:ip 0:0123h
push cs
push ip
jmp dword ptr ds:[0]
X86
CPU架构中:
先来看一张Intel X86架构手册
的图片。
- E8 cw(w表示word的意思|代表后面要跟两个字节) - 近转移 位移
!注意! CPU在实模式下,0xE8才接受2字节操作数
0xE8 0x04 0x00 call 标号 偏移:0x04
- E8 cd(d表示dword的意思)
在保护式下,0xE8接受4字节操作数
0xE8 0x04 0x03 0x02 0x01 call 偏移:0x01234
- FF /2 (r/m32)
FF /2,是 0xFF 后面跟着一个 /digit 表示的东西。如下图 2 对应的就是DL带头的那一列,标红的这32个值代表了32种寻址方式。
;call的是取寄存器地址的值
FF 10 call dword ptr [eax]
FF 11 call dword ptr [ecx]
FF 12 call dword ptr [edx]
FF 13 call dword ptr [ebx]
;call的是寄存器的值
FF D0 call eax
FF D1 call ecx
FF D2 call edx
FF D3 call ebx
FF 15 [地址] 常见于调用Windows的导出表比如:
call dword ptr ds:[<&CreateFileA>]
- FF /2 (r/m64)
同32位,只是寄存器和地址都是64位的
- 9A cd(d表示dword的意思) -- call far ptr 标号(段间转移)
类似8086中的call far ptr
9A xx xx xx xx xx xx
其中最后两个xx xx = 段地址
9A后面4个xx = 要call的地址
push cs
push eip
jmp xx xx xx xx
执行call far ptr 标号
前的数据
跟入call后的数据,注意堆栈的内容。
执行ret后
返回到了call调用处
表格
指令 | 二进制格式 |
---|---|
call rel32 | E8 xx xx xx xx |
call dword ptr [EAX] | FF 10 |
call dword ptr [ECX] | FF 11 |
call dword ptr [edx] | FF 12 |
call dword ptr [ebx] | FF 13 |
call dword ptr [REG * SCALE+BASE] | FF 14 xx |
call dword ptr [Address] | FF 15 xx xx xx xx |
call dword ptr [ESI] | FF 16 |
call dword ptr [EDI] | FF 17 |
call dword ptr [EAX+xx] | FF 50 xx |
call dword ptr [ECX+xx] | FF 51 xx |
call dword ptr [EDX+xx] | FF 52 xx |
call dword ptr [EBX+xx] | FF 53 xx |
call dword ptr [REG*SCALE+BASE+offset8] | FF 54 xx xx |
call dword ptr [EBP+xx] | FF 55 xx |
call dword ptr [ESI+xx] | FF 56 xx |
call dword ptr [EDI+xx] | FF 57 xx |
call dword ptr [EAX+xxxxxxxx] | FF 90 xx xx xx xx |
call dword ptr [ECX+xxxxxxxx] | FF 91 xx xx xx xx |
call dword ptr [EDX+xxxxxxxx] | FF 92 xx xx xx xx |
call dword ptr [EBX+xxxxxxxx] | FF 93 xx xx xx xx |
call dword ptr [REG*SCALE+BASE+offset32] | FF 94 xx xx xx xx xx |
call dword ptr [EBP+xxxxxxxx] | FF 95 xx xx xx xx |
call dword ptr [ESI+xxxxxxxx] | FF 96 xx xx xx xx |
call dword ptr [EDI+xxxxxxxx] | FF 97 xx xx xx xx |
call eax | FF D0 |
call ecx | FF D1 |
call edx | FF D2 |
call ebx | FF D3 |
call esp | FF D4 |
call ebp | FF D5 |
call esi | FF D6 |
call edi | FF D7 |
call FAR seg16:Address | 9A xx xx xx xx xx xx |
图
参考资料: https://zhuanlan.zhihu.com/p/68588184 CALL指令有多少种写法 https://blog.csdn.net/qq_39654127/article/details/88698911 王爽《汇编语言》笔记(详细)