王爽汇编第十章,call和ret指令

王爽汇编第十章,call和ret指令

call和ret指令概述：

call和ret指令都是转移指令，它们都修改IP，或同时修改CS和IP。他们经常被用来实现子程序(函数)的设计。

ret和retf

ret指令

ret指令：用栈中的数据，修改IP的内容，从而实现(近转移)；

CPU执行ret指令时，需要进行下面两个步骤：

相当于：pop IP

(1) (IP) = ((ss)*16+(sp))
(2) (SP)=(sp)+2

retf指令

retf指令：用栈中的数据，修改CS和IP的内容，从而实现(``远转移`)。

CPU执行retf指令时，需要进行下面四个步骤

相当于：pop CS,pop IP

(1) (IP) = ((ss)*16+(sp))
(2) (SP) = (sp)+2
(3) (CS) = ((ss)*16+(sp))
(4) (SP) = (sp)+2

;************************************

;            ret指令实验             *

;************************************

assume cs:code,ss:stack

;>>>>>>>>>>>>>>>>>>>>>

;堆栈段

;>>>>>>>>>>>>>>>>>>>>>

stack segment

	db 16 dup(0)

stack ends

;>>>>>>>>>>>>>>>>>>>>>

;代码段

;>>>>>>>>>>>>>>>>>>>>>

code segment

		  mov ax,4c00h

		  int 21h;退出到DOS

main:;程序入口

	    mov ax,stack

	    mov ss,ax   ;关联堆栈段

	    mov sp,16   ;设置栈顶

	    mov ax,0

	    push ax     ;压栈

      ret         ;pop ip, ->cs:ip cs:0 ,让程序跳到入口处上面

code ends

end main

call 和 ret 的配合使用

call 与 ret 指令共同支持了汇编语言编程中的模块化设计

call指令详解

在X86架构下：call基本都是调用一个函数,比如调用MessageBox，在汇编中就会写成Call MessageBox，并且call经常和ret搭配使用，下面我们来说说call的原理。

call原理

CPU执行call指令时，会进行如下两个步骤：

(1) 将当前的IP或者CS:IP压入栈中；
(2) 转移指令(jmp)

我们这里先来看看x86架构下EXE执行call的流程。

用x32dbg打开HelloWorld.exe，然后反汇编视图如下：

此时我们还没执行Call，然后我们先记一下Call下条指令的地址0x0040107C，然后接着第2步骤按F7进入到call内部，然后此时注意观察堆栈的信息。

我们按F7进入到call内容。

第一步里面我们记下来的0x0040107C地址，被push到了堆栈里面，并且jmp到了函数的地址00401000，所以验证了之前CPU执行call指令会有两个步骤(push ip，并且jmp 到call 函数的地址)。

call指令所有写法

8086CPU架构中：

call 标号（近转移）

push ip

jmp near ptr 标号

call far ptr 标号（段间转移）

push cs

push ip

jmp fat ptr 标号

call 16位寄存器

push ip

jmp ax

call word ptr 内存单元地址

mov ax, 0123h

mov ds:[0],ax

call word ptr ds:[0]

;等于

push ip

jmp word ptr ds:[0]

call dword ptr 内存单元地址

mov ds:[0],ax

mov word ptr ds:[2],0

call dword ptr ds:[0]

;等于 cs:ip 0:0123h

push cs

push ip

jmp dword ptr ds:[0]

X86CPU架构中：

先来看一张Intel X86架构手册的图片。

E8 cw(w表示word的意思|代表后面要跟两个字节) - 近转移位移

!注意! CPU在实模式下，0xE8才接受2字节操作数

0xE8 0x04 0x00  call 标号 偏移:0x04

E8 cd(d表示dword的意思)

在保护式下，0xE8接受4字节操作数

0xE8 0x04 0x03 0x02 0x01  call 偏移:0x01234

FF /2 (r/m32)

FF /2，是 0xFF 后面跟着一个 /digit 表示的东西。如下图 2 对应的就是DL带头的那一列，标红的这32个值代表了32种寻址方式。

;call的是取寄存器地址的值

FF 10 call dword ptr [eax]

FF 11 call dword ptr [ecx]

FF 12 call dword ptr [edx]

FF 13 call dword ptr [ebx]

;call的是寄存器的值

FF D0 call eax

FF D1 call ecx

FF D2 call edx

FF D3 call ebx

FF 15 [地址] 常见于调用Windows的导出表比如:

call dword ptr ds:[<&CreateFileA>]

FF /2 (r/m64)

同32位，只是寄存器和地址都是64位的

9A cd(d表示dword的意思) -- call far ptr 标号(段间转移)

类似8086中的call far ptr

9A xx xx xx xx xx xx

其中最后两个xx xx = 段地址

9A后面4个xx       = 要call的地址

push cs

push eip

jmp xx xx xx xx

执行call far ptr 标号前的数据

跟入call后的数据，注意堆栈的内容。

执行ret后

返回到了call调用处

call 指令大全图表

表格

指令	二进制格式
call rel32	E8 xx xx xx xx
call dword ptr [EAX]	FF 10
call dword ptr [ECX]	FF 11
call dword ptr [edx]	FF 12
call dword ptr [ebx]	FF 13
call dword ptr [REG * SCALE+BASE]	FF 14 xx
call dword ptr [Address]	FF 15 xx xx xx xx
call dword ptr [ESI]	FF 16
call dword ptr [EDI]	FF 17
call dword ptr [EAX+xx]	FF 50 xx
call dword ptr [ECX+xx]	FF 51 xx
call dword ptr [EDX+xx]	FF 52 xx
call dword ptr [EBX+xx]	FF 53 xx
call dword ptr [REG*SCALE+BASE+offset8]	FF 54 xx xx
call dword ptr [EBP+xx]	FF 55 xx
call dword ptr [ESI+xx]	FF 56 xx
call dword ptr [EDI+xx]	FF 57 xx
call dword ptr [EAX+xxxxxxxx]	FF 90 xx xx xx xx
call dword ptr [ECX+xxxxxxxx]	FF 91 xx xx xx xx
call dword ptr [EDX+xxxxxxxx]	FF 92 xx xx xx xx
call dword ptr [EBX+xxxxxxxx]	FF 93 xx xx xx xx
call dword ptr [REG*SCALE+BASE+offset32]	FF 94 xx xx xx xx xx
call dword ptr [EBP+xxxxxxxx]	FF 95 xx xx xx xx
call dword ptr [ESI+xxxxxxxx]	FF 96 xx xx xx xx
call dword ptr [EDI+xxxxxxxx]	FF 97 xx xx xx xx
call eax	FF D0
call ecx	FF D1
call edx	FF D2
call ebx	FF D3
call esp	FF D4
call ebp	FF D5
call esi	FF D6
call edi	FF D7
call FAR seg16:Address	9A xx xx xx xx xx xx

图

参考资料：

https://zhuanlan.zhihu.com/p/68588184 CALL指令有多少种写法

https://blog.csdn.net/qq_39654127/article/details/88698911 王爽《汇编语言》笔记（详细）