程序一:
TITLE Add and Subtract
; This program adds and subtracts 32-bit integers.
; Last update: 06/01/2006
INCLUDE Irvine32.inc
.data
num DWORD 0FFFFFF9Ch
.code
main PROC
mov eax, num ; EAX = 10000h
add eax,40000h ; EAX = 50000h
sub eax,20000h ; EAX = 30000h
call DumpRegs
exit
main ENDP
END main
程序二 :
TITLE Add and Subtract
; This program adds and subtracts 32-bit integers.
; Last update: 06/01/2006
.386
.model flat,stdcall
.stack 4096
ExitProcess PROTO, dwExitCode:DWORD ;聲明之後不需要使用include了
DumpRegs PROTO ;聲明之後不需要使用include了
.data
num DWORD 0FFFFFF9Ch
.code
main PROC
mov eax, num ; EAX = 10000h
add eax,40000h ; EAX = 50000h
sub eax,20000h ; EAX = 30000h
call DumpRegs
INVOKE ExitProcess, 0
main ENDP
END main
爲什麼可以引用ExitProcess 和 DumpRegs呢,因爲在VS2010中導入了依賴庫路徑,和 依賴庫文件(*.lib,kernel32.lib,Irvine32.lib)。看到函數聲明(Irvine32.inc中,或者是PROTO僞指令聲明)後,編譯器爲該函數的調用留出一個位置;在鏈接器工作的時候,尋找lib,尋找導出函數名=該函數的lib,將預留的函數地址寫進去。
程序三:
TITLE Add and Subtract
; This program adds and subtracts 32-bit integers.
; Last update: 06/01/2006
.386
.model flat,stdcall
.stack 4096
ExitProcess PROTO, dwExitCode:DWORD
DumpRegs PROTO
.data
num DWORD 0FFFFFF9Ch
snum BYTE 21 DUP('A')
bnum DWORD 1,2,3,4,5,6,7
.code
main PROC
mov ebx, 0
mov ebx, bnum+8
call DumpRegs
INVOKE ExitProcess, 0
main ENDP
END main
1:定義在.data中的數據在data區段內,並且連續,而且沒有4字節對齊
2:mov ebx, bnum+8,這個8是字節,so ebx=3
3:經過查看,PE文件和內存中,mov ebx, bnum+8,直接引用的是bnum+8的虛擬地址(VA),不是RVA。
在xp中,內存中和PE文件中是一樣的,但在windows 7下,由於alsr的關係,內存中的該指令的地址和文件中就不一樣了。