逆向工程核心原理-IA-32寄存器

IA-32由四类寄存器组成：通用寄存器，段寄存器，程序状态与控制寄存器，指令指针寄存器。

通用寄存器：用于传送和暂存数据，也可参与算数逻辑运算，并保存运算结果。

　　EAX（0-31） 32位          AX  (0-15)  EAX的低16位         AH （8-15） AX的高8位             AL（0-7） AX的低8位

　　EAX：针对操作数和结果数据的   累加器              EAX一般用在函数返回值中，所有win32API函数都会先把返回值保存到EAX再返回。

　　EBX：DS段中的数据指针         基址寄存器

　　ECX：字符串和循环操作的         计数器

　　EDX：I/O指针                           数据寄存器

　　EBP：SS段中栈内数据指针     扩展基址指针寄存器

　　ESI：字符串操作源指针　　   源变址寄存器

　　EDI：字符串操作目标指针      目的变址寄存器

　　ESP：SS断中栈指针               栈指针寄存器                  ESP指向栈顶地址

段寄存器：段寄存器总共有6种寄存器，分别为cs，ss，ds，es，fs，gs。

　　CS：Code Segment  　　代码段寄存器 　　　　存放应用程序代码所在段的段基址

　　SS：Stack Segment　　 栈段寄存器　　　　　　存放栈段的段基址

　　DS：Data Segment 　　  数据段寄存器　　　　　存放数据段的段基址

　　ES：Extra（Data）Segment      附加（数据）段寄存器　　　　以下都是存放附加数据段的段基址

　　FS：Data Segment  　　  数据段寄存器

　   GS：Data Segment 　　 数据段寄存器

　　FS寄存器用于计算SEH（Structured Exception Handler，结构化异常处理机制）、TEB（Thread Environment Block，线程环境块）、PEB（Process Environment Block，进程环境块）等地址，这些属于高级调试技术。

程序状态与控制寄存器：

　　EFLAGS：Flag Register， 标志寄存器            共有32位元，每位都有特定的含义。

　　ZF：Zero Flag，零标志       若运算结果为0，则其值为1，否则为0.

　　OF：Overflow Flag，溢出标志　　　　有符号整数溢出时，OF值被置为1。此外，MSB（最高有效位）改变时，其值也被设为1。

　　CF：Carry  Flag，进位标志　　　　　无符号整数溢出时，其值也被置为1。

指令指针寄存器：

　　EIP：Instruction Pointer，指令指针寄存器　　　　保存着CPU要执行的指令地址，EIP只能间接修改，还可以通过中断或异常来修改EIP的值。