call和ret指令概述:

callret指令都是转移指令,它们都修改IP,或同时修改CS和IP。他们经常被用来实现子程序(函数)的设计。

ret和retf

ret指令

ret指令:用栈中的数据,修改IP的内容,从而实现(近转移);
CPU执行ret指令时,需要进行下面两个步骤:

相当于:pop IP

  • (1) (IP) = ((ss)*16+(sp))
  • (2) (SP)=(sp)+2

    retf指令

    retf指令:用栈中的数据,修改CS和IP的内容,从而实现(``远转移`)。

CPU执行retf指令时,需要进行下面四个步骤

相当于:pop CS,pop IP

  • (1) (IP) = ((ss)*16+(sp))
  • (2) (SP) = (sp)+2
  • (3) (CS) = ((ss)*16+(sp))
  • (4) (SP) = (sp)+2
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
;************************************
; ret指令实验 *
;************************************
assume cs:code,ss:stack

;>>>>>>>>>>>>>>>>>>>>>
;堆栈段
;>>>>>>>>>>>>>>>>>>>>>
stack segment
db 16 dup(0)
stack ends

;>>>>>>>>>>>>>>>>>>>>>
;代码段
;>>>>>>>>>>>>>>>>>>>>>
code segment
mov ax,4c00h
int 21h;退出到DOS
main:;程序入口
mov ax,stack
mov ss,ax ;关联堆栈段
mov sp,16 ;设置栈顶
mov ax,0
push ax ;压栈
ret ;pop ip, ->cs:ip cs:0 ,让程序跳到入口处上面
code ends
end main

call 和 ret 的配合使用

call 与 ret 指令共同支持了汇编语言编程中的模块化设计

image-20210922191207275

call指令详解

在X86架构下:call基本都是调用一个函数,比如调用MessageBox,在汇编中就会写成Call MessageBox,并且call经常和ret搭配使用,下面我们来说说call的原理。

call原理

CPU执行call指令时,会进行如下两个步骤:

  • (1) 将当前的IP或者CS:IP压入栈中;
  • (2) 转移指令(jmp)

我们这里先来看看x86架构下EXE执行call的流程。

  1. x32dbg打开HelloWorld.exe,然后反汇编视图如下:
    此时我们还没执行Call,然后我们先记一下Call下条指令的地址0x0040107C,然后接着第2步骤按F7进入到call内部,然后此时注意观察堆栈的信息。

image-20210921185014473

  1. 我们按F7进入到call内容。
    第一步里面我们记下来的0x0040107C地址,被push到了堆栈里面,并且jmp到了函数的地址00401000,所以验证了之前CPU执行call指令会有两个步骤(push ip,并且jmp 到call 函数的地址)。

image-20210921185801800

call指令所有写法

8086CPU架构中:

  • call 标号(近转移)
1
2
push ip
jmp near ptr 标号
  • call far ptr 标号(段间转移)
1
2
3
push cs
push ip
jmp fat ptr 标号
  • call 16位寄存器
1
2
push ip
jmp ax
  • call word ptr 内存单元地址
1
2
3
4
5
6
mov ax, 0123h
mov ds:[0],ax
call word ptr ds:[0]
;等于
push ip
jmp word ptr ds:[0]
  • call dword ptr 内存单元地址
1
2
3
4
5
6
7
mov ds:[0],ax
mov word ptr ds:[2],0
call dword ptr ds:[0]
;等于 cs:ip 0:0123h
push cs
push ip
jmp dword ptr ds:[0]

X86CPU架构中:

先来看一张Intel X86架构手册的图片。

CALL指令有多少种写法

  • E8 cw(w表示word的意思|代表后面要跟两个字节) - 近转移 位移

    1
    2
    !注意! CPU在实模式下,0xE8才接受2字节操作数
    0xE8 0x04 0x00 call 标号 偏移:0x04
  • E8 cd(d表示dword的意思)

    1
    2
    在保护式下,0xE8接受4字节操作数
    0xE8 0x04 0x03 0x02 0x01 call 偏移:0x01234
  • FF /2 (r/m32)
    FF /2,是 0xFF 后面跟着一个 /digit 表示的东西。如下图 2 对应的就是DL带头的那一列,标红的这32个值代表了32种寻址方式。

img

1
2
3
4
5
6
7
8
9
10
;call的是取寄存器地址的值
FF 10 call dword ptr [eax]
FF 11 call dword ptr [ecx]
FF 12 call dword ptr [edx]
FF 13 call dword ptr [ebx]
;call的是寄存器的值
FF D0 call eax
FF D1 call ecx
FF D2 call edx
FF D3 call ebx

image-20210922170402158

1
2
FF 15 [地址] 常见于调用Windows的导出表比如:
call dword ptr ds:[<&CreateFileA>]

image-20210922182431058

  • FF /2 (r/m64)
1
同32位,只是寄存器和地址都是64位的
  • 9A cd(d表示dword的意思) – call far ptr 标号(段间转移)
1
2
3
4
5
6
7
8
类似8086中的call far ptr
9A xx xx xx xx xx xx
其中最后两个xx xx = 段地址
9A后面4个xx = 要call的地址

push cs
push eip
jmp xx xx xx xx

执行call far ptr 标号前的数据

image-20210922183236402

跟入call后的数据,注意堆栈的内容。

image-20210922190825113

执行ret后

image-20210922190846909

返回到了call调用处

image-20210922190914295

call 指令大全图表

表格

指令 二进制格式
call rel32 E8 xx xx xx xx
call dword ptr [EAX] FF 10
call dword ptr [ECX] FF 11
call dword ptr [edx] FF 12
call dword ptr [ebx] FF 13
call dword ptr [REG * SCALE+BASE] FF 14 xx
call dword ptr [Address] FF 15 xx xx xx xx
call dword ptr [ESI] FF 16
call dword ptr [EDI] FF 17
call dword ptr [EAX+xx] FF 50 xx
call dword ptr [ECX+xx] FF 51 xx
call dword ptr [EDX+xx] FF 52 xx
call dword ptr [EBX+xx] FF 53 xx
call dword ptr [REG*SCALE+BASE+offset8] FF 54 xx xx
call dword ptr [EBP+xx] FF 55 xx
call dword ptr [ESI+xx] FF 56 xx
call dword ptr [EDI+xx] FF 57 xx
call dword ptr [EAX+xxxxxxxx] FF 90 xx xx xx xx
call dword ptr [ECX+xxxxxxxx] FF 91 xx xx xx xx
call dword ptr [EDX+xxxxxxxx] FF 92 xx xx xx xx
call dword ptr [EBX+xxxxxxxx] FF 93 xx xx xx xx
call dword ptr [REG*SCALE+BASE+offset32] FF 94 xx xx xx xx xx
call dword ptr [EBP+xxxxxxxx] FF 95 xx xx xx xx
call dword ptr [ESI+xxxxxxxx] FF 96 xx xx xx xx
call dword ptr [EDI+xxxxxxxx] FF 97 xx xx xx xx
call eax FF D0
call ecx FF D1
call edx FF D2
call ebx FF D3
call esp FF D4
call ebp FF D5
call esi FF D6
call edi FF D7
call FAR seg16:Address 9A xx xx xx xx xx xx

1

参考资料:
https://zhuanlan.zhihu.com/p/68588184 CALL指令有多少种写法
https://blog.csdn.net/qq_39654127/article/details/88698911 王爽《汇编语言》笔记(详细)