WIN32汇编语言解析

win32汇编中的sizeof

win32汇编中的sizeof不同于其它语言的sizeof ,这个是真正的sizeof，以字节为单位的。
看下例

szhello db 'hello,world!',0

mov eax,sizeof szhello

eax=?
答案是
eax=13
因为hello,world!为13个字节，然后0占一个，所以是13

变量命名风格

enter与leave

ENTER是建立当前函数的栈框架，即相当于以下两条指令：
      pushl   %ebp
      movl   %esp,%ebp
    8)LEAVE是释放当前函数或者过程的栈框架，即相当于以下两条指令：

       movl ebpesp

      popl  ebp

   如果反汇编一个函数，很多时候会在函数进入和返回处，发现有类似如下形式的汇编语句：
       
      pushl   %ebp          ;ebp寄存器内容压栈，即保存main函数的上级调用函数的栈基地址
      movl   %esp,%ebp      ; esp值赋给ebp，设置 main函数的栈基址

      ...........          ; 以上两条指令相当于 enter0,0
      ...........

      leave               ; 将ebp值赋给esp，pop先前栈内的上级函数栈的基地址给ebp，恢复原栈基址

      ret                    ; main函数返回，回到上级调用

   这些语句就是用来创建和释放一个函数或者过程的栈框架的。
   原来编译器会自动在函数入口和出口处插入创建和释放栈框架的语句。
   函数被调用时：
    1) EIP/EBP成为新函数栈的边界
   函数被调用时，返回时的EIP首先被压入堆栈；创建栈框架时，上级函数栈的EBP被压入堆栈，与EIP一道行成新函数栈框架的边界
    2) EBP成为栈框架指针SFP，用来指示新函数栈的边界
   栈框架建立后，EBP指向的栈的内容就是上一级函数栈的EBP，可以想象，通过EBP就可以把层层调用函数的栈都回朔遍历一遍，调试器就是利用这个特性实现backtrace功能的
    3) ESP总是作为栈指针指向栈顶，用来分配栈空间
   栈分配空间给函数局部变量时的语句通常就是给ESP减去一个常数值，例如，分配一个整型数据就是 ESP-4
    4) 函数的参数传递和局部变量访问可以通过SFP即EBP来实现
   由于栈框架指针永远指向当前函数的栈基地址，参数和局部变量访问通常为如下形式：
       +8+xx(%ebp)       ; 函数入口参数的的访问

       -xx(%ebp)         ; 函数局部变量访问

80x86堆栈的增长及PUSH和POP

1、堆栈向地址减小的方向增长

2、PUSH后，先压入堆栈，再减少ESP值；POP与之相反。

3、ESP指向堆栈顶的那个值，而不是堆栈的下一个空白处

通用寄存器的目的

invoke语句  

 invoke既可以调用WINDOWS　API，也可以调用汇编子程序。
格式为invoke 程序名,参数1，参数2，。。。。
参数2先入堆栈，参数1再入堆栈，以此类推
如invoke mysubpro,eax,ecx
编译器会编译成下面这个模样：
push ecx
push eax
call mysubpro

类似于高级语言的条件选择语句，
.if 条件1
语句1
.else 条件2
语句2
....
.else
语句3
.endif
但实际编译后
1、对if ebx
2、对if eax 会翻译成or eax,eax
　　　　　　　　je 0040100c如果eax为0，则该条件不满足，跳转到下一条语句或下个条件判断,0040100c是举例，即下个语句的地址。

[.break[.if 退出条件]]

[.contine]

1、标号

@@:标号

@F：前面一个标号

@B:后面一个标号

2、全局变量定义在.data和.data?内

3、局部变量用local指令定义

local 变量名1：类型，变量名2：类型

数据结构