《intel汇编语言程序设计》 第三章记录

程序一：

TITLE Add and Subtract

; This program adds and subtracts 32-bit integers.
; Last update: 06/01/2006

INCLUDE Irvine32.inc
.data
num DWORD 0FFFFFF9Ch

.code
main PROC
    mov    eax, num        ;  EAX = 10000h
    add    eax,40000h        ; EAX = 50000h
    sub    eax,20000h        ; EAX = 30000h
    call    DumpRegs

    exit
main ENDP

END main

程序二 ：

TITLE Add and Subtract

; This program adds and subtracts 32-bit integers.
; Last update: 06/01/2006

.386
.model flat,stdcall
.stack 4096
ExitProcess PROTO, dwExitCode:DWORD ;声明之后不需要使用include了
DumpRegs PROTO ;声明之后不需要使用include了

.data
num DWORD 0FFFFFF9Ch

.code
main PROC
    mov    eax, num        ;  EAX = 10000h
    add    eax,40000h        ; EAX = 50000h
    sub    eax,20000h        ; EAX = 30000h
    call    DumpRegs

    INVOKE  ExitProcess, 0
main ENDP
END main

为什么可以引用ExitProcess 和 DumpRegs呢，因为在VS2010中导入了依赖库路径，和 依赖库文件(*.lib,kernel32.lib,Irvine32.lib)。看到函数声明（Irvine32.inc中，或者是PROTO伪指令声明）后，编译器为该函数的调用留出一个位置;在链接器工作的时候，寻找lib，寻找导出函数名=该函数的lib，将预留的函数地址写进去。

程序三：

TITLE Add and Subtract

; This program adds and subtracts 32-bit integers.
; Last update: 06/01/2006

.386
.model flat,stdcall
.stack 4096
ExitProcess PROTO, dwExitCode:DWORD
DumpRegs PROTO

.data
num DWORD 0FFFFFF9Ch
snum BYTE 21 DUP('A')
bnum DWORD 1,2,3,4,5,6,7

.code
main PROC
    mov ebx, 0
    mov ebx, bnum+8
    call    DumpRegs

    INVOKE ExitProcess, 0
main ENDP
END main

1：定义在.data中的数据在data区段内，并且连续，而且没有4字节对齐

2：mov ebx, bnum+8，这个8是字节，so ebx=3

3：经过查看，PE文件和内存中，mov ebx, bnum+8，直接引用的是bnum+8的虚拟地址（VA），不是RVA。

在xp中，内存中和PE文件中是一样的，但在windows 7下，由于alsr的关系，内存中的该指令的地址和文件中就不一样了。