Fasm---Win32彙編學習1
今天就由我來帶領大家進入win32彙編學習的殿堂。我們以後採用的編譯器是Fasm, 因爲我比較偏向Fasm,其一它是開源的,我們可以自己通過學習Fasm的源代碼來學習,且它的區段可以完全自己構建這使我們可以更加的深入對PE結構的掌握等。所以我比較推薦Fasm,當然你用其他的編譯器也是可以的。。。 看個人愛好吧。。但是有必要說下,國內fasm使用甚少,大多人都喜歡使用masm,所以fasm的資料也是相當匱乏,所以大家可以選擇任意的編譯器。
首先介紹下FASM書寫的格式
format PE 子系統 子系統版本號
entry 入口點
section '節名' 可用標誌 節屬性
section '節名' 可用標誌 節屬性
format僞指令是用來指定輸出的文件格式。。後面跟PE指定輸出PE文件格式,當然也可以輸出Win16下的MZ文件格式。不過既然我們講的Win32彙編,所以以後都採用的是PE文件格式。。 ∩∩ .. 好,後面子系統標示我們輸出的文件的子系統值。子系統值標示我們程序被加載時候按照何種方式運行。因爲我們映像文件(也就是磁盤文件)在被映射到內存的時候,PE Loader會讀取我們PE結構上相應的子系統值來通知何種子系統(也就是我們的程序運行在何種子系統環境下)。 我們一般編寫的程序用到3種子系統。“console”控制檯,“GUI”可視化圖形程序 , “native” 驅動程序。好接下來是我們的子系統版本號,這裏大家可以自己設置指定版本號。
entry是用來指定我們的程序的入口點。就是程序從哪裏開始執行(也就是初始化我們EIP寄存器的值),一般entry 後面跟的是我們的標號名稱。
好接下來是我們用section僞指令來定義節。 格式是
section '節名' 可用標誌 節屬性
節名可以任意設置,只要不超過8個字節即可。。 可用標誌這裏有“code”, “data”, “import”, "export"等。節屬性也是相應的可用標誌
"readable", "writeable","executable", "shareable", "discardable","notpageable" 。
理論:
Win32程序運行在保護模式下,保護模式可以追溯到80286時代,但是而今80286已經過時。現在我們的經歷放在80386以及後續的X86 系列的CPU上。 Windows把每一個Windows程序放到分開的虛擬地址空間中運行。也就是說每一個程序都擁有相互獨立的4GB地址空間。也就是說他們的尋址可達4GB的範圍。程序在運行的時候操作系統會完成4GB的虛擬地址到物理地址的轉換,這也要求我們編寫程序必須恪守Windows的相關規定,否則極其容易發生內存的保護模式錯誤。。
而Win32程序只有一種內存模式也就是“平坦”內存模式,所有的Win32程序運行在一個用程序運行在一個連續、平坦、巨大的 4GB 的空間中。這同時也意味着您無須和段寄存器打交道,您可以用任意的段寄存器尋址任意的地址空間,這對於程序員來說是非常方便的,這也使得用32位彙編語言和用C語言一樣方便。在Win32下編程,有許多重要的規則需要遵守。有一條很重要的是:Windows 在內部頻繁使用 ESI,EDI,EBP,EBX 寄存器,而且並不去檢測這些寄存器的值是否被更改,這樣當您要使用這些寄存器時必須先保存它們的值,待用完後再恢復它們,一個最顯著的應用例子就是 Windows 的 CallBack 函數中。 。
參考書籍:《Iczelion的Win32彙編教程》 對此表示由衷的感謝。。